分类: 黑客事件

网络钓鱼新模式,黑客利用连字符伪造 URL

PhishLabs 安全研究人员发现一种新型钓鱼方式,允许黑客利用手机端 URL 地址栏长度不足的劣势引导用户进入钓鱼网站。目前,这一手段已让大量在手机端使用 Facebook 的用户纷纷中招。 研究人员透露,新的攻击策略依赖于移动浏览器 URL 地址栏过窄,从而阻碍了用户查看全部链接内容的漏洞。据悉,黑客利用子域名和连字符等字符串填充 URL,让整个链接在移动设备中看起来极其真实,可一旦用户进入则会被引导至钓鱼网址。 此外,该公司还提供了一个例子,比如 -hxxp://m.facebook.com,这里 http 已被 hxxp 替代。而多数时候用户并不能清楚分辨,但是他们访问的已经是一个钓鱼网址了。他们在该网址的所有动作都会把自身数据传输至黑客手中,而黑客会再利用这些数据通过垃圾邮件把钓鱼网址发送给用户周边的朋友,从而感染更多用户。 事实上,这一点曾在 PC 端出现过,但由于 PC 端的地址栏较长,一些钓鱼网址极易识破。而在手机端,URL 填充方法就非常有效地掩盖了网站的真实域名,移动用户很难发现这一问题。解决这一问题的办法在于确认并检查完整域名,而不仅是 HTTP 的部分,因为每一个字符的错误都可能进入钓鱼网站。此外,安全扫描,屏蔽多数钓鱼网站且不要点击短信和邮件里的链接,因为这些链接的危险度较高,如果有必要一定要仔细检查。 稿源:中关村在线,封面源自网络

英国黑客承认窃取美国国防部军事卫星资料

据外媒 6 月 17 日报道,25 岁的英国黑客肖恩 · 卡弗里( Sean Caffrey )于近期在 Birmingham Crown 法院认罪,承认窃取美国国防部( DoD )军事卫星资料。 调查显示,Caffrey 于 2014 年 6 月 15 日曾侵入美国国防部系统,访问超过 800 名卫星通信系统用户账号与电子邮件地址,以及窃取了 3 万多个卫星电话相关信息。国家通信协会( NCA )网络犯罪部门与西中部地区警察随后展开调查,并于 2015 年 3 月将其逮捕,NCA 专家亦在 Caffrey 电脑硬盘上发现了被盗数据。 据国防部透露,他们为解决此次黑客入侵造成的损失共计花费约 62.8 万美元。NCA 调查负责人 Janey Young 表示,NCA 正努力创建合法安全网络空间,加强打击网络犯罪分子攻击活动。 原作者:Pierluigi Paganini,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

黑客入侵美 39 个州选举系统,白宫热线曾警告克里姆林宫

据彭博社 6 月 14 日报道,在特朗普当选总统前,俄罗斯对美国选举系统发动的网络攻击范围远大于公开报道,即入侵了 39 个州的选民数据库和软件系统,是之前报道数量的近 2 倍。 调查人员在伊利诺斯州发现黑客试图删除或修改选民信息的证据。黑客入侵计票人员在选举日使用的软件,并至少在一个州入侵了选举经费数据库。此外,安全专家表示,攻击范围和老练程度让奥巴马政府高官担忧,他们采取了前所未有的举措——直接通过热线向莫斯科抱怨。 两名知情人士称,白宫于去年 10 月通过秘密渠道向克里姆林宫提供了俄罗斯干预美国总统选举的详细文档,并警告称这可能引发双方更广泛的冲突。俄罗斯官员公开否认与针对美国总统选举的网络攻击活动有关联,其中包括针对希拉里竞选团队、民主党全国委员会等机构的 “ 鱼叉式钓鱼攻击 ”。俄罗斯总统普京最近向媒体表示,俄罗斯犯罪分子可能与此事有关联。俄罗斯回应需要更详尽信息,并保证如果美国选举系统继续受到攻击,它将展开调查。 有关 2016 年美国总统大选的未解之谜之一是,在入侵州和地方政府的系统后,俄罗斯情况机构为什么没有尝试破坏选举。一种可能是美国的警告起了作用。但另外一名不具名美国高官称,一种更可能的解释是,数个月的攻击,没有使黑客获得破坏选举的能力。 目前,美国国土安全部成立了专门团队,帮助各州强化网络安全系统,部分州甚至聘请私人安全公司。在许多州,俄罗斯黑客攻击的程度尚不清楚。联邦政府对州选举系统没有直接管辖权,其部分州只与联邦政府进行有限合作。 稿源:cnBeta,封面源自网络

绝密报告:大选前俄罗斯黑客攻击 100 多名美国官员

据 CNET 报道,美国国家安全局( NSA )近期曝光的绝密报告显示,在 2016 年美国总统大选前,俄罗斯黑客曾对全美 100 多名地方选举官员和一家投票软件公司发动攻击。 NSA 在报告中描述了俄罗斯黑客的攻击细节,比如对美国地方选举官员和为 8 个州开发选举软件的科技公司 VR Systems 发动钓鱼攻击,这些州包括加州、佛罗里达州、纽约州、伊利诺伊州、北卡罗来纳州、印第安纳州、弗吉尼亚州以及西弗吉尼亚州。攻击时间恰好位于选举日之前,许多黑客攻击行动都围绕在 10 月下旬展开。 这份报告首先被美国爆料网站 The Intercept 曝光,随后得到 CBS News 证实。俄罗斯对 2016 年总统大选发动网络袭击和影响始终困扰着白宫,因为美国现任总统唐纳德·特朗普( Donald Trump )卷入与俄罗斯关系的调查中。虽然特朗普继续否认俄罗斯黑客并非代表他发动袭击,但 FBI 已经启动正式调查,包括其竞选活动与外国网络袭击之间的联系。 这份 NSA 报告曝光的时机很巧,恰好是前 FBI 局长詹姆斯·科米( James Comey )即将前往参议院下属情报委员会就此调查事件作证 3 天前。俄罗斯总统普京( Vladimir Putin )继续驳斥政府支持黑客对美国发动网络袭击的指控,坚持称那只是俄罗斯爱国人士的自发运动。 NSA 在报告中称,代表俄罗斯政府的黑客假扮成电子投票公司,诱使美国政府官员点击含有隐藏恶意软件的电子邮件。俄罗斯黑客还通过使用 noreplyautomaticservice@gmail.com 电子邮件假扮谷歌向受害者发送电子邮件,要求他们点击最终遭到钓鱼攻击的链接。到目前为止,NSA 报告已经确认 7 名潜在受害者。 VR Systems 目前还未就此作出任何回应。但报告中称,有 120 多个不同地方政府遭到俄罗斯黑客袭击。在 NSA 报告曝光前数日,美国司法部已经对芮丽提·温纳( Reality Leigh Winner )提出指控,后者是乔治亚洲的承包商,据称她为新闻机构提供绝密材料。温纳已经在自己家中被捕,并出席了听证会。 稿源:网易科技,封面源自网络

波斯湾不平静:巴林外交部长 Twitter 账号被黑

据外媒报道,卡塔尔国家通讯社遭黑客网络攻击 10 天后,邻国巴林外交部长哈利德(Sheikh Khaled bin Ahmad Al-Khalifa)的 Twitter 帐号被黑。 巴林虽然是一个占地面积极小的国家,但却拥有着美国海军第五舰队与英国海军的基地。据悉,该起网络攻击事件是因为逊尼派君主制的警方袭击了一名主要什叶派教士的故乡,导致 5 人死亡、286 人被捕,致使网络战争一触即发。 据悉,哈立德的 Twitter 中遭黑客发布了一系列令人不安的图片推文,其中包括血腥的尸体、遭毁坏的清真寺,以及看似为描绘战争的儿童画。 巴林外交部虽然已证实此次网络攻击活动由恐怖组织引发,但并未透露该事件其他具体细节。巴林外交部表示,定将追究责任,保证国家网络安全。 稿源:本文根据 ibtimes、msn新闻翻译整理 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

莫斯科威胁情报公司:黑客组织 Lazarus 与朝鲜“秘密关系”的最新证据

外媒 31 日报道,莫斯科威胁情报公司 Group-IB 近期发表了一份报告,揭示黑客组织 Lazarus 与朝鲜“秘密关系”的最新证据。 Lazarus(音译 “ 拉撒路 ”)堪称全球金融机构首要威胁。该组织自 2009 年以来一直处于活跃状态,据推测早在 2007 年就已涉足摧毁数据及破坏系统的网络间谍活动。调查显示,黑客组织 Lazarus 与 2014 年索尼影业 Wiper 攻击事件及 2016 年孟加拉国银行网络攻击事件有关。 黑客组织 Lazarus 攻击活动于 2014 年至 2015 年激增,其组织成员多数采用自定义恶意软件展开网络攻击活动。Group-IB 安全专家表示,该组织针对全球银行 SWIFT 系统的攻击活动留下了众多线索。 研究人员目前已检测并彻底分析了 Lazarus 如何使用复杂僵尸网络基础设施访问目标银行系统的相关细节。此外,他们还发现该黑客组织通过 SSL 发送加密数据、利用合法 VPN 隐匿真实身份。研究人员表示,自 Operation Blockbuster 报道过一份关于 Lazarus 组织成员的大量信息后,该黑客组织当即改变了攻击战略。 Lazarus 长期使用的两个 C&C 服务器地址之一 —— 210.52.109.22 属中国网通 IP 段,但据调查显示 IP 210.52.109.0/24 范围早已被分配给了朝鲜。而另一 IP 地址 175.45.178.222 指向朝鲜互联网服务提供商,它被分配给了朝鲜 Potonggang 区域,“巧合”的是朝鲜最高军事机构也在这里。 此外多项证据也显示,黑客组织 Lazarus 正将其攻击活动伪装成俄罗斯黑客所为,即伪造恶意软件中的标志代码欺骗调查人员,以嫁祸俄罗斯黑客。 更多细节分析可阅读:Group-IB 报告《 Lazarus 的兴起 :构架、技术与归属》 原作者:Pierluigi Paganini,译者:青楚,译审:FOX 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

“ 斗篷与匕首 ” 新型攻击来袭,可滥用合法权限接管任意版本 Android 设备

据外媒 25 日报道,安全研究人员于近期发现一种新型攻击手段 Cloak and Dagger( “ 斗篷与匕首 ” ),允许黑客完全控制任意版本的 Android 设备( 包括最新版本 7.1.2 )、窃取私人敏感数据,其中包括击键与聊天记录、设备 PIN 码、在线帐户密码、OTP 动态口令与通讯录联系人信息等。 有趣的是,此攻击手段并非利用 Android 生态系统中的任何漏洞,而是滥用流行应用商城中广泛使用的合法权限访问 Android 设备上的某些功能。Cloak and Dagger 主要利用 Android 系统的两项基本权限: SYSTEM_ALERT_WINDOW( “ draw on top ” ):合法覆盖功能,允许应用程序在 Android 设备屏幕上覆盖其他应用程序。 BIND_ACCESSIBILITY_SERVICE( “ a11y ” ):帮助残障人士与视力受损的用户通过语音命令输入信息或使用屏幕阅读功能收听事件内容。 由于 Cloak and Dagger 无需利用任何恶意代码执行木马程序,因此黑客极易开发并提交恶意应用程序且不易被谷歌商店发现。据悉,黑客可在安装恶意应用程序后执行各种操作,主要包括高级劫持攻击、无限制访问击键记录、隐身网络钓鱼攻击、静默安装获得所有操作权限的 God-mode 应用、在保持屏幕关闭的状态下解锁手机进行任意操作等。 简而言之,黑客可以暗中接管用户 Android 设备并监视设备上的一举一动。目前,虽然研究人员已向 Google 披露该攻击手段,但由于此类问题源自 Android 操作系统设计缺陷且涉及两个标准功能的正常运行,因此该问题恐怕一时无法解决。安全专家建议用户始终从 Google Play 商店下载应用程序并在安装应用程序之前仔细检查权限设置。 原作者:Swati Khandelwal, 译者:青楚,译审:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

看个视频也被黑?流行播放器存安全漏洞,凭字幕文件可成功劫持用户系统

安全研究人员近期发现流行媒体播放器 Kodi 与 VLC 存在安全隐患,允许黑客利用恶意字幕文件 “ 完全控制 ” 用户个人电脑、智能电视与智能手机。目前,数亿用户正面临安全风险。 Check Point 专家表示,网络犯罪分子将 “ 精心制作 ” 的电影与电视节目文本文件传播至世界各地。一旦成功诱导用户下载运行,即可执行远程代码、接管用户设备。 字幕文本一般由写手创建并上传至互联网商店( 如 OpenSubtitles 或 SubDB ),随后系统会根据人气与可用性进行索引与排序。此外,安全研究人员发现黑客可能通过操纵在线存储库排名算法愚弄系统,迫使媒体播放器自动下载恶意字幕并规避所有用户交互行为。 研究人员发现全球最受欢迎的四款媒体播放器 VLC、Kodi( XBMC )、Popcorn Time 与 Stremio 均存在此安全隐患。而其他流媒体播放器也不排除存在类似安全隐患的可能。目前,厂商已修复相关漏洞并发布该应用程序最新版本。安全专家强调,为保护自身设备远离网络攻击风险,用户应将流媒体播放器升级至最新版本。 原作者: Jason Murdock, 译者:青楚,译审:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

俄黑客入侵 100 多万部 Android 手机,盗取银行客户 5000 余万卢布

据外媒报道,俄罗斯官员于周一宣布,他们已成功打击一个专门盗取银行账户资金的黑客组织。俄罗斯内务部表示,这个团伙被称为 “ Cron ”,他们通过恶意软件 Cron 感染俄罗斯 100 多万部 Android 手机并盗取银行客户超过 5000 万卢布(约合人民币 609 万)。 俄罗斯网络安全公司 Group-IB 称,恶意软件 Cron 感染 Android 用户的手机后,允许黑客向受害者的银行发送短信并要求其向每个受害者平均转出 140 美元。病毒将会在被感染的手机上隐藏来自银行的所有通知。研究人员表示,目前为止,Cron 已将资金存入 6000 个黑客银行帐户。它相当于一种木马病毒,通过文本信息和虚假应用中的恶意链接传播。 Group-IB 平均每天有 3500 名受害者下载如 Navitel、Avito 和 Pornhub 等应用的虚假版本。该计划在俄罗斯是成功的。据俄罗斯中央银行表示,部分原因是五分之一的俄罗斯成年人使用手机银行。Group-IB 情报部门兼负责人 Dmitry Volkov 表示:“ 根据 2016 年高科技犯罪趋势报告,移动 Android 木马造成的损失总额超过 600 万美元,比上一个报告期增加了 471% ”。 据悉,该团队针对俄罗斯 50 家银行并计划在全球范围内扩张,目标主要为美国、德国、法国、新加坡、澳大利亚等国家的银行。黑客每月支付 2000 美元用于称为 Tiny.z 的木马,允许他们从世界各地的银行窃取资金。此外,该黑客组织大部分成员于去年 11 月 22 日被捕,其最后一名活跃成员于今年 4 月在圣彼得堡被捕。 稿源:cnBeta;封面源自网络

朝鲜网络精英战队 Unit 180 涉嫌参与黑客攻击活动

据外媒 21 日报道,安全专家发现朝鲜人民军侦察总局( RGB )下属的网络精英战队 Unit 180 涉嫌以谋取经济利益为目的、针对金融机构大肆展开网络攻击活动。 朝鲜外逃的前计算机科学教授 Kim Heung-kwang (金信宽)表示,Unit 180 成员可能化身为贸易公司、朝鲜海外分公司或中国与东南亚合资企业雇员,前往海外寻找比朝鲜更好的互联网服务并以此方式洗脱罪名。战略与国际研究中心专家 James Lewis 向 路透社 透露,朝鲜不仅利用黑客手段针对韩美两国开展间谍活动与政治骚扰,还在索尼被黑事件后改变策略,即通过支持犯罪活动为执政当局提供硬通货政权。据悉,这一战略显然比此前毒品、伪造与走私活动获益更多。 美国国防部在向国会提交的一份报告中指出,朝鲜可能 “ 将网络视为一种具有成本效益的不对称、可否认工具。这种工具几乎不具有报复性攻击风险,其部分原因是因为该国网络很大程度上与互联网相分隔 ”。此外,该报告还指出,朝鲜很可能为掩饰攻击起源与互联网基础设施通过第三方国家发起网络攻击活动。调查显示,马来西亚已经成为朝鲜网络攻击行动的基地,而朝鲜 RGB 也与两家马来西亚科技公司存有潜在联系。 警方表示,朝鲜曾于去年六月入侵 160 家韩国企业与政府机构逾 14 万台计算机设备。如今,恶意代码的植入已成为朝鲜长期国防计划的一部分,为大规模网络攻击奠定了基础。 原作者:Sarmistha Acharya, 译者:青楚 ,译审:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接