分类: 推荐阅读

都是套路:ATM 转账新规刚实施,骗子已经用上了

为降低电信诈骗所带来的伤害,央行今年 9 月份牵头发布了《防范和打击电信网络诈骗犯罪的通告》。其中规定,个人通过银行自助柜员机(ATM)向非同名账户转账的,资金 24 小时后到账。 12 月 1 日是央行新规实施首日,上述 ATM 转账新规便立刻发挥作用,帮助男子保住数万元涉嫌被诈骗的资金。然而没想到的是,新规刚刚实施,就有骗子找到了新规的漏洞。 有网友爆料称,ATM 机转账 24 小时到帐还可撤回的政策才出来三天,骗子已经用上了。前天一个陌生电话打来订货,不说要什么就说配 5000 块的货,发了 ATM 转账凭证过来,然后就不停催发货,打银行客服查询确实有这交易,不过还是多了心眼没发货,到今天了 24 小时钱也没到账,银行查询是该笔交易已撤销。 虽然不清楚事件的真相,这里也提醒大家,ATM 转账是可以24小时撤销的,如果有必要,可以要求客户通过银行柜台或电子银行转账,后两者是实时到账的。 稿源:cnBeta.com, 封面:百度搜索

专家称特朗普使用的 Android 手机很容易遭网络攻击

特朗普承认社交媒体在他此次胜选中起了很大的作用,但他表示今后将不会再在 Facebook 和 Twitter 上那样活跃,不过 2017 年 1 月之前还是会再发布几条新动态。但美国的安全专家们很担心使用社交媒体将使得特朗普易于受到各种网络攻击,特别是特朗普正在使用的是安卓手机。以往 NSA 通常会为总统准备安全度更高的黑莓手机,但为奥巴马提供的却是一部 Galaxy S4 ,这部手机只有接打电话功能,因此不会存在受攻击的危险。 对于特朗普,NSA 要头疼了,因为他明确表示在入主白宫后将继续使用他的私人手机。但安全专家称特朗普的这一要求不可能会被准许。尽管专家们指出安卓系统比 iOS 系统更容易受到攻击,但对于美国总统而言,没有哪个系统是绝对安全的。因此 NSA 可能会为特朗普准备另外一部除了接打电话外没有其他功能的手机,这样,特朗普在正式成为总统后就不能再在手机里安装应用商店里的软件了。 稿源:cnBate.com,封面:百度搜索

FBI 建议用户频繁更换密码保障安全遭专家吐槽“画蛇添足”

11 月 25 日,FBI 发布一条推特,希望给假日购物季的消费者一些关于信息安全的建议:“正在这个假期里网购吗?注意你的账户安全,使用安全度高的密码或者经常更换密码。”使用安全度高的密码是个好建议,但后面的一条却引来了争议,许多安全专家都称这是条糟糕的建议。因为如果经常更换密码,用户会倾向于选择容易记忆的密码,这使得被黑客破解的几率增大。 其中一个安全专家 Per Thorsheim 称用户不该频繁更换密码,保护账号安全还有许多其他方法。“我对FBI给出的这个坏建议感到很吃惊,因为已经在至少半年的时间内,大量的研究报告、研究组织以及政府都反复强调不该频繁更换密码。我不知道到底是谁在管理 FBI 的官方推特,显然管理者并不了解什么是最好的安全保护方法。” 那么到底该怎样保护你的网络账户呢?最简单的方法是设置复杂的、不易被破解的密码,另外,尽可能采用双重身份验证,并且避免在两个以上的设备上使用同一密码。 稿源:cnbeta.com,封面来源:百度搜索

微软 EMET 安全机制或胜过 Win 10 现行安全防护能力

据外媒报道,美国卡内基梅隆大学 CERT 协调中心研究员 Will Dormann 称,微软不应该计划“砍掉”增强型减灾工具(EMET),而是应该继续保留这一功能。因为运行着 EMET 的 Windows 7 电脑甚至胜过 Windows 10 运行的本机安全防御。 微软此前称 EMET 的防御功能已经集成到 Windows 10 操作系统,并将于 2018 年中期停止对 EMET 的支持。 Dormann 将 Windows 7 与 Windows 10 安全性进行了比较 Dormann称微软忽略了 EMET 功能的一个重要特性:强制应用程序运行额外的防御机制。对于某些还在使用已经停止补丁更新的软件使用者来说,这会提供额外的安全防御措施。 稿源:本站翻译整理,封面来源:百度搜索

商业邮件诈骗将目标转向医疗机构 ,英美及加拿大 35 家机构沦陷

在过去两周里,以冒充 CEO 为形式的一系列商业电子邮件欺诈(BEC)开始将目标转向医疗机构,其中美国有 17 家机构、英国 10 家、加拿大 8 家。这些机构包括一般医院和用于专科保健、诊所性质的教学医院。即使制药公司也不能免于 BEC 诈骗,一家位于英国的公司和两家加拿大制药公司也成为诈骗目标。 CEO 欺诈是一种 BEC 骗局,骗子通过欺骗、假冒 CEO 或另一个商业主管的电子邮件帐户,向管理公司财务的首席财务官(CFO)发送欺诈性质的汇款请求,不知情的员工会将资金转移到骗子的银行账户 (平均每起诈骗造成 13 万美元的损失)。 与其他网络犯罪形式不同,这种 CEO 欺诈并不是利用安全漏洞因而很难被防御,攻击者通常伪造“发件人”和“回复”字段并将主题行限制为几个字,以避免引起怀疑并体现紧迫性。换句话说,电子邮件本身不会在其正文中包含典型的恶意附件或网址,这意味着传统的安全解决方案会将邮件默认为“安全”。 企业首席财务官(CFO)应注意每封邮件的邮件地址并验证发件人真伪并严格按照流程进行转账。 稿源:本站翻译整理,封面来源:百度搜索

谷歌向众记者、诺贝尔奖学者发送警告:你已被“国家级”黑客盯上

众多记者和学者向公众媒体报道,他们已经收到谷歌发送的警告信息,有受国家支持的黑客使用他们的谷歌帐户登录谷歌邮箱或其他网站。收到警告消息的人包括诺贝尔经济学奖得主、纽约时报专栏作家 Paul Krugman,纽约杂志的 Jonathan Chait,GQ 记者 Keith Olbermann 等等。 此外,谷歌发言人称,这些警告消息发生的实际时间在 1 个月前。为了防止黑客分析出研究人员用来检测入侵的方法,官方有意延迟了告警时间。 稿源:本站翻译整理,封面来源:百度搜索

从源头防堵信息泄露,央行下月推行”支付标记化”

央行于 11 月 9 日下发了《中国金融移动支付 支付标记化技术规范》(以下简称《规范》)行业标准的通知,强调自 2016 年 12 月 1 日起全面应用支付标记化技术。与此同时,记者注意到,上述《规范》还提出了支付标记化技术的基本架构,规定了应用支付标记化技术的系统接口、安全、风险控制等要求。 支付标记化技术作为全球支付领域的最新前沿技术,其优势体现在三个方面: 第一,敏感信息无需留存,持卡人卡号与卡片有效期在交易中不出现; 第二,支付标记仅可在限定交易场景使用,使得支付更安全; 第三,支付标记灵活性更高,与传统银行卡验证功能相比较,支付标记综合了个人身份与设备信息验证、支付信息附加验证、风险等级评估等功能进行交易合法性识别和风险管控。 因此,支付标记化不仅可防范交易各环节的持卡人敏感信息泄露,同时也降低了欺诈交易的发生概率。 稿源:cnbeta.com,封面来源:百度搜索

小心欺诈:此 ɢoogle.com 非彼 Google.com

现在人们常常收到伪基站发送的垃圾短信,通常不法分子会使用数字“ 0 ”代替字母“ O ”、或者用字母“l”迷惑成数字“1”等粗糙的手段来欺骗大家。社会经验不丰富的话,很容易就让诈骗者得逞。不过现在,有了一个更加让人头疼的问题 —— 你能分出“ Google.com ”和“ ɢoogle.com ”的区别么? 今年早些时候,假冒 Google.com 的“ ɢoogle.com ”开始出现在了谷歌分析的流量榜单上,甚至在“ secret.ɢoogle.com ”页面上大肆为共和党总统候选人唐纳德·特朗普“拉票”。 但仔细分析该网址,你会发现它其实是这么个玩意(迅速重定向至): money.get.away.get.a.good.job.with.more.pay.and.you.are.okay.money.it.is.a.gas.grab.that.cash.with.both.hands.and.make.a.stash.new.car.caviar.four.star.daydream.think.i.ll.buy.me.a.football.team.money.get.back.i.am.alright.jack.ilovevitaly.com/#.keep.off.my.s 上面是平克·弗洛伊德乐队的《 Money 》一曲的歌词,但这个网页的扯淡程度不仅于此。对于首次来到该网站的访客,它还会弹出一条“使用指南”(以及故意标榜自己是特朗普的支持者)。 最后维基百科揭开了“ Google.com ”还是“ ɢoogle.com ”的秘密。“ G ”是拉丁字母的大写,而“ ɢ ”则是拉丁字母的‘小大写’。 稿源:cnbeta.com,封面来源:百度搜索

杀毒软件成鸡肋?谷歌工程师吐槽病毒扫描

PC 以及智能手机用户安装防病毒软件已成了必须要做的事,而定期对硬盘进行扫描也是很多用户的习惯。不过 Google 的高级安全工程师 Darren Bilby 却表示,病毒扫描和入侵检测系统非常的鸡肋。 日前召开的 Kiwicon 黑客峰会上,Darren Bilby 表示,用户不要再为这些安全产品充值信仰了,因为一些病毒扫描和入侵检测系统非常的鸡肋。“侵入检测系统并没有任何实质帮助,而且扫描过程必然需要耗费一些时间,与其如此还不如做一些真正有意义的事情”,Bilby 强调。 Bilby 希望今后的“安全类型”应该注重白名单、硬件安全密钥和动态访问权限方面的发展。Bilby 说道:“防病毒产品确实做了一些事情,但这就像是一只金丝雀在煤矿中。而更为糟糕的是,我们站在已经死亡的金丝雀旁边然后说道‘感谢上帝啊,它已经吸入了所有的有毒气体。’” 他同时还认为那些安全上网的建议都是非常“糟糕”。Bilby 认为不应该要求用户不要点击网络钓鱼网站和不要下载奇怪的可执行文件,而是应该要求硬件和软件厂商将产品打造的足够安全,他说道:“我们给消费者并不安全的网络系统,却又责备我们的用户。” 稿源:今日头条,封面来源:百度搜索

微软 Edge 和 IE11 浏览器明年将停止接受 SHA-1 TLS 证书

SHA-1是一种散列算法,自从1995年发布以来已被广泛使用,但是,在2005年被攻破之后,它不再被认为是安全的加密手段,并由更安全的散列函数SHA-2和SHA-3取代。包括谷歌、Mozilla和微软在内,许多公司已经宣布许它们将在 2017 年前停止接受 SHA-1 TLS 证书。 现在微软表示,从 2017 年 2 月 14 日起,公司不赞成使用 SHA-1 签名的证书,届时部分网站,用户和第三方应用程序将受到影响。微软这份声明,是为了进一步增强 Edge 和 IE 11 浏览器的安全功能,这两个浏览器将不会加载显示使用 SHA-1 签名证书的网站,并显示“无效证书”警告,但用户可以选择绕过警告并访问可能有漏洞的网站。微软已经澄清,这只会影响使用 SHA-1 签名证书并且链接到微软受信任根 CA 的网站,而手动安装企业 SHA-1 证书或自签名 SHA-1 证书的网站将不受影响。 稿源:cnbeta.com,封面来源:百度搜索