标签: 网络欺诈

NetWalker 勒索软件相关分析

Netwalker (又名 Mailto)勒索软件近期十分活跃。 由于新型冠肺炎的爆发,一些活跃的勒索软黑客们开始不再攻击医疗目标,但NetWalker 勒索软件却是例外。 这款勒索软件的赎金要求很高,很多受害者们因无法支付相关赎金导致数据被泄露。 最近美国的教育机构也成为了勒索软件的重点攻击目标,密歇根州立大学、加州大学旧金山分校和哥伦比亚大学芝加哥分校都没有幸免。近期的RaaS(勒索软件即服务)模式转变加剧了勒索的范围,导致网络检测和清理不再足以确保组织数据机密的安全,预防成为了面对威胁的唯一解决办法。   … 更多内容请至Seebug Paper阅读全文:https://paper.seebug.org/1243/     消息来源:sentinelone,译者:dengdeng。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

谷歌遭亚利桑那州司法部长起诉 被指欺诈用户

据外媒报道,当地时间周三,谷歌受到来自亚利桑那州司法部长Mark Brnovich提起的诉讼,后者指控这家搜索巨头欺骗用户并从他们的手机中收集位置数据。我们知道,谷歌的绝大部分收入来自其庞大的广告业务,而谷歌在用户使用其产品时收集的个人信息为其提供了支撑。 对此,Brnovich在Twitter上发文指出,用户被一种虚假的安全感欺骗了,因为谷歌让用户认为他们禁用了位置数据收集的设置,而实际上这些设置仍旧是处于开启状态。 该诉讼要求谷歌提供损害赔偿,但具体金额尚不清楚。Brnovich的办公室也没有回复记者的置评请求。 谷歌则有在一份声明中为自己关于位置数据的政策进行过辩护。发言人Jose Castaneda表示:”司法部长和收取诉讼费用的律师似乎错误地描述了我们的服务。我们一直在我们的产品中内置了隐私功能并为位置数据提供了强大的控制。我们期待澄清事实。”     (稿源:cnBeta,封面源自网络。)  

商业服务巨头 Conduent 遭 Maze 勒索软件攻击

Maze勒索软件运营商声称已经成功攻击了商业服务巨头Conduent,他们窃取了其网络上未加密的文件并攻破加密设备。Conduent是一家位于美国新泽西州的商业服务公司,拥有6.7万名员工,2019年业务收入为44.7亿美元。 今天,Maze勒索软件操作者在他们的数据泄露网站上发布了一个新的条目,称他们在2020年5月入侵Conduent网络。在进行攻击时,Maze勒索软件的操作者会在部署勒索软件之前窃取未加密的文件。这些被窃取的数据和公开发布的威胁,被用作杠杆,说服受害者支付赎金。Maze勒索入侵者公布的入侵Conduent的证据,包括1GB文件,据称是在勒索软件攻击期间被盗取的。发布的文件名为’BusinessIntelligence.zip’和’Compliance1.zip’,包括各种财务电子表格、客户审计、发票、佣金报表和其他杂项文件。 由于已经发布的数据类型多样,Conduent必须将其作为数据泄露事件向客户和员工披露。在给BleepingComputer的一份声明中,Conduent证实他们在2020年5月29日遭受了勒索软件攻击,影响服务约10小时。Conduent表示:“旗下欧洲业务在2020年5月29日星期五经历了一次服务中断。我们的系统识别到了勒索软件,随后我们的网络安全协议对其进行了处理。这次中断始于欧洲中部时间5月29日凌晨12点45分,到欧洲中部时间当天上午10点,系统大部分又恢复了生产,此后所有系统都恢复了。这导致我们向部分客户提供的服务部分中断。随着我们的调查继续进行,我们有内部和外部安全取证和反病毒团队在审查和监控我们的欧洲基础设施。 威胁情报公司Bad Packets表示,在2019年12月17日到2020年2月14日之间的至少8周时间里,Conduent公司有一台Citrix服务器被曝出存在CVE-2019-19781漏洞。该漏洞允许攻击者在易受攻击的设备上进行远程代码执行,该漏洞已于2020年1月被修补。攻击者将这些设备作为中转站,然后在损害更多设备的同时,在内部网络中横向扩散。据悉,CVE-2019-19781漏洞过去曾被黑客用来入侵网络并部署勒索软件。虽然目前还不能确认这个漏洞是否被用作这次攻击的一部分,但Maze勒索软件操作者过去一直都是利用漏洞来进行网络入侵。     (稿源:cnBeta,封面源自网络。)  

Sign in with Apple 被爆高危漏洞:可远程劫持任意用户帐号

近日苹果向印度漏洞安全研究专家Bhavuk Jain支付了高达10万美元的巨额赏金,原因就是他报告了存在于Sign in with Apple中的严重高危漏洞。Sign in with Apple(通过Apple登录),能让你利用现有的Apple ID快速、轻松地登录 App 和网站,目前按该漏洞已经修复。 该漏洞允许远程攻击者绕过身份验证,接管目标用户在第三方服务和应用中使用Sign in with Apple创建的帐号。在接受外媒The Hacker News采访的时候,Bhavuk Jain表示在向苹果的身份验证服务器发出请求之前,苹果客户端验证用户方式上存在漏洞。 通过“Sign in with Apple”验证用户的时候,服务器会包含秘密信息的JSON Web Token(JWT),第三方应用会使用JWT来确认登录用户的身份。Bhavuk发现,虽然苹果公司在发起请求之前要求用户先登录到自己的苹果账户,但在下一步的验证服务器上,它并没有验证是否是同一个人在请求JSON Web Token(JWT)。 因此,该部分机制中缺失的验证可能允许攻击者提供一个属于受害者的单独的苹果ID,欺骗苹果服务器生成JWT有效的有效载荷,以受害者的身份登录到第三方服务中。Bhavuk表示:“我发现我可以向苹果公司的任何Email ID请求JWT,当这些令牌的签名用苹果公司的公钥进行验证时,显示为有效。这意味着,攻击者可以通过链接任何Email ID来伪造JWT,并获得对受害者账户的访问权限。” Bhavuk表示即使你选择隐藏你的电子邮件ID,这个漏洞同样能够生效。即使你选择向第三方服务隐藏你的电子邮件ID,也可以利用该漏洞用受害者的Apple ID注册一个新账户。 Bhavuk补充道:“这个漏洞的影响是相当关键的,因为它可以让人完全接管账户。许多开发者已经将Sign in with Apple整合到应用程序中,目前Dropbox、Spotify、Airbnb、Giphy(现在被Facebook收购)都支持这种登录方式。” Bhavuk在上个月负责任地向苹果安全团队报告了这个问题,目前该公司已经对该漏洞进行了补丁。除了向研究人员支付了bug赏金外,该公司在回应中还确认,它对他们的服务器日志进行了调查,发现该漏洞没有被利用来危害任何账户。     (稿源:cnBeta,封面源自网络。)

谷歌推出专门网站 帮助人们避免网上诈骗

谷歌周四公布了一个网站,旨在教人们如何发现和避免网上诈骗,因为在冠状病毒大流行的情况下,数字骗局达到了高潮。这家名为Scamspotter.org的网站试图向人们展示如何识别虚假的医疗检查、假的疫苗优惠或其他虚假的医疗信息。该网站还强调了某些典型的骗局模式,比如恋爱诈骗者要求目标人物给他们汇款或给他们买礼品卡。 谷歌与致力于帮助网络欺诈受害者的非营利组织“网络犯罪支持网络”(Cybercrime Support Network)合作推出了这一网站。该网站包括一个小测验,通过常见的诈骗场景,比如收到一条关于赢得夏威夷之旅的消息,通过这个小测验来测试用户反欺诈的能力。 谷歌表示,这项工作是在骗子们以 “惊人的速度 “利用了新冠疫情的情况下进行的。美国人因为COVID-19相关的骗局,已经损失了超过4000万美元。联邦贸易委员会预计,今年将因冠状病毒相关或其他方面的诈骗而损失的金额将超过20亿美元。 本月早些时候,美国联邦贸易委员会警告公众关于相关联系人追踪的短信诈骗,这些骗局要求提供个人信息,如社会安全号、银行账户或信用卡号码等。谷歌和苹果公司已经发布了自己的联络人追踪工具。 谷歌表示,该网站特别针对教育老年人,他们因为诈骗而损失的钱比其他年龄段人多得不成比例。该公司敦促年轻人与生活中的老年人分享网站上的防诈骗信息。     (稿源:cnBeta,封面源自网络。)

世卫组织:针对员工的网络攻击和针对公众的诈骗数量大幅增加

世界卫生组织(WHO)近日报告称,针对组织工作人员的网络攻击以及针对普通公众的电子邮件诈骗数量大幅增加。而针对近期曝光的帐号泄漏事件,世卫组织表示这些泄漏的数据并不是最近才泄漏的,也没有给世卫组织的系统带来风险。 不过世卫组织表示这些泄漏的登录凭证在旧的外联网系统中使用,此前被现任和退休的工作人员以及合作伙伴使用。该卫生机构目前正在将受影响的系统迁移到一个更安全的认证系统。 根据新闻稿,诈骗者还冒充世卫组织,向公众发送电子邮件。诈骗者一直试图欺骗公众向一个虚构的基金捐款,而不是真正的COVID-19声援应对基金,该基金最终将帮助世界各国应对新的疾病。 世卫组织首席信息官贝尔纳多·马里亚诺在评论这一消息时说 确保会员国的健康信息的安全和与我们互动的用户的隐私是世卫组织在任何时候都要优先考虑的问题,尤其是在COVID-19大流行期间。我们感谢会员国和私营部门向我们发出的警报。我们大家都在这场斗争中携手并进。   (稿源:cnBeta,封面源自网络。)

谷歌警告黑客正在利用免费快餐诱骗联邦政府工作人员

根据谷歌周三发布的一份报告,黑客正在寻找一切机会来利用本次 COVID-19 的全球大流行,甚至通过免费快餐来诱骗政府官员泄露登录信息。这家科技巨头表示,其日均在阻止 1800 万封恶意邮件,这还不包括与新冠病毒有关的 2.4 亿封垃圾邮件。 此外谷歌威胁分析小组表示,其已发现有十余个有背景的黑客组织,称其正在利用 COVID-19 来引诱受害者点击恶意链接。 这些攻击与其它类型的网络犯罪有些不同,通常出于间谍目的、而不是为了获取更直接的经济利益。 比如谷歌指出,其发现了一项针对美国政府雇员的行动,通过提供美国快餐连锁店优惠券和免费餐食的形势引诱受害者上钩。 此类骗局常涉及与 COVID-19 有关的消息,以引导受害者进入一个伪装成送餐安排的网站页面,只为了窃取政府雇员的谷歌账户登录凭据。 谷歌威胁分析小组负责人 Shane Huntley 在一篇文章中称,目前尚不清楚有哪些用户的账户受到了侵害,但像往常一样,他们会向这类用户发出警告通知。 除了特别针对美国政府雇员的快餐钓鱼诈骗,本次新冠病毒流行期间,黑客还向除南极洲外的许多地区发起了邮件诈骗,比如伪装成世界卫生组织的官方网站。 好消息是,谷歌表示,其正在为包括世界卫生组织在内的 5 万多个账户给予额外的安全防护。   (稿源:cnBeta,封面源自网络。)

黑客劫持微软公司的数个 YouTube 帐户 以传播加密庞氏骗局

外媒ZDNet从一位读者那里了解到,黑客已经劫持了微软公司的一些YouTube帐户,并向该公司的订阅用户广播了一种加密货币庞氏骗局。根据消息来源,这些黑客入侵似乎发生在当地时间周一。尽管向YouTube工作人员报告了这些情况,但截至外媒记者发稿前,被劫持的帐户仍在直播。 这位黑客目前正在直播前微软首席执行官比尔·盖茨(Bill Gates)在2019年6月在Village Global向听众提供有关创业公司建议的旧演讲。黑客正在直播演示文稿的变更版本,同时还要求观众参加经典的“加密货币赠品”活动-受骗者可能发送少量加密货币以使收入翻倍,但从未获得任何回报。 目前,加密货币庞氏骗局正在Microsoft US,Microsoft Europe,Microsoft News等YouTube帐户上实时流式传输。目前,YouTube上有超过19个直播视频正在直播。这些视频不仅在微软YouTube频道上播放,而且还在从其他用户手中劫持并重命名为合法Microsoft帐户的YouTube频道上播放,以扩大效果。 视频流中列出的比特币地址未收到任何交易或持有任何资金,表明没有用户落入该骗局。根据YouTube的统计信息,目前有成千上万的人观看了视频。 微软并不是受到大规模黑客入侵事件影响的唯一组织。著名的德国黑客社区Chaos Computer Club也被劫持以传播类似消息。   (稿源:cnBeta,封面源自网络。)

假冒 Corona 杀毒软件宣称能提供新冠病毒防护

据外媒报道,网络犯罪从不会休眠,而现在全世界都在关注着这种新冠病毒疫情,于是前者想着利用后者来为自己牟利。这一次则是一个叫做Corona Antivirus的假冒Windows杀毒软件。Malwarebytes和MalwareHunter在两个不同的网站都发现了这个假冒应用。 该应用网站写道:“我们来自哈佛大学的科学家一直在研究一种特殊的AI开发技术,通过使用Windows应用来对抗这种(新冠)病毒。当应用运行时,你的电脑会主动保护你免受冠状病毒(Cov)的攻击。” 该网站提供了一个被感染的安装器,据Malwarebytes披露,它不会在一台被攻击的机器上丢下BlackNET RAT,而设备则会自动添加到BlackNET僵尸网络中。 恶意软件感染自身具有一系列功能,包括作为僵尸网络的一部分发起DDOS攻击、截屏、窃取Firefox cookie等敏感信息、保存密码和比特币钱包以及运行一个键盘记录器来监控系统上的活动等。 Malwarebytes表示:“在此期间,在家和上网都要注意安全。我们在过去几周看到的诈骗数量表明,罪犯会利用任何情况。我们建议您随时更新您的计算机,并在下载新程序时格外小心。当心即时通知和其他消息,即使它们看起来像是来自朋友。”   (稿源:cnBeta,封面源自网络。)

黑客谎称微软遭受伊朗网络攻击进行邮件钓鱼

黑客正试图利用伊朗最近可能发动网络攻击的警告,来搜集Microsoft登录凭据进行网络欺诈。由于美国和伊朗之间关系日渐紧张,美国政府就伊朗可能会对重要基础设施发起网络攻击发出警告。在这样的局势下,一名攻击者谎称自己源于“Microsoft MSA”并发送了主题为“电子邮件用户受到伊朗网络攻击”的邮件,谎称微软服务器受到了来自伊朗的网络攻击来进行网络欺诈。 仿冒邮件还写到:为了应对这一攻击,微软会将邮件和数据锁定在服务器上以此保护用户免受伤害,若想要再次获得锁定用户的数据访问权,用户需要重新登录。 关于进行网络欺诈的电子邮件 据收到该钓鱼邮件的用户Michael Gillett说:他发现该邮件能够绕过Outlook的垃圾邮件过滤器,到达收件人的邮箱中。 以下是邮件内容 Cyber Attack 我们的服务器今天遭到伊朗政府的网络攻击,为了确保您的网络安全,我们不得不采取额外措施来保护您的帐户和个人数据。 一些电子邮件和文件可能会被锁定,为了您的账户安全,您需要再次登录账户。如果您在接收电子邮件时仍有问题,请耐心等待,我们的技术支持团队正在加紧处理,会尽快恢复数据。 Restore Data 如果收件人点击“还原数据”按钮,则会返回到仿冒的Microsoft登录页面,但从URL可以看到,这并不是一个合法的Microsoft站点。 伪造的Microsoft登录页面 如果用户输入登录凭证,用户信息将会被攻击者盗取被进行其他方面的网络攻击,而这些攻击可能包括:有针对性的网络欺诈、凭证填充攻击,数据盗窃。 因此,在这里提醒用户:当收到奇怪电子邮件,要求登录账户执行某项操作时,需要保持警惕,有问题可以联系网络或邮件账户管理员。此外,用户还要注意检查包含Microsoft登录表单在内的任何登录页面的URL,而合法的登录表单会在Microsoft.com、live.com和outlook.com域上进行公布。   消息来源:bleepingcomputer, 译者:dengdeng,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接