安全快讯Top News

分布式猜测攻击,破解 VISA 信用卡仅需 6 秒?

来自纽卡斯尔大学的一组安全研究人员发现了一种称为分布式猜测攻击的新方法,只需 6 秒即可破解 VISA 信用卡。攻击者利用 VISA 支付系统漏洞,自动生成不同的信用卡数据并在多个网站交易,通过交易回复信息判断信用卡数据是否正确。 研究人员推测,这种方法可能被用于最近针对乐购银行的网络攻击,导致 250 万英镑被黑客窃取。 研究发表在学术期刊《IEEE Security & Privacy》,讲述了所谓的分布式猜测攻击如何规避所有的安全防御功能,以保护在线支付免受欺诈。 攻击利用了支付系统两个不太严重的缺陷,但是一起使用会对整个支付系统造成严重的威胁。 首先,目前的在线支付系统无法检测出,来自不同网站的多个无效付款请求。这允许攻击者对每个信用卡片的数据字段进行无限次猜测,每个网站通常可以进行 10 到 20 次尝试。 其次,不同的网站要求卡片的不同数据字段来验证是“真实”的在线支付交易。 这意味着攻击者可以像拼玩具一样,把卡片各数据字段拼凑出来。 具体步骤: 首先,黑客以有效卡号为起点自动发送它们到许多网站去验证有限性。 下一步是到期日期,信用卡的有效期为 60 月,所以猜测日期最多需要 60 次。 CVV(信用卡安全代码)是最后的屏障,理论上只有卡持有人知道该号码,但猜测这三位数最多尝试 1000 次 通过上述步骤就可以获得被黑账户的所有数据。 如何避免此类欺诈: 1、限制在线支付金额 2、银行卡不要存大量的钱,资金已到位立刻转出 3、保持警惕、注意交易记录 稿源:本站翻译整理,封面来源:百度搜索

安全专家建议总统特朗普培训 10 万黑客保护美国

包括顶级安全专家、前 NSA 主管 Keith AlexanderKeith 和万事达卡首席执行官 Ajay Banga 在内的一个委员会在一份报告当中建议美国总统当选人唐纳德·特朗普应该训练和雇用大约 10 万黑客,其主要目的是对其它国家发动网络攻击,但也同时保卫美国免遭网络攻击。 这个安全专家小组指出,网络安全应该成为唐纳德·特朗普在美国掌舵期间的优先事项,并建议当选总统要培训黑客,为任何网络威胁做准备。美国应该加强努力培训安全专家,为该国工作,而不是为私人公司牟利,这在过去几年中已成为一个严重的问题。 此外,安全专家建议特朗普必须严格控制所有培训计划,同时创建一个所谓的“国家网络安全人力计划”。唐纳德·特朗普还被建议雇佣一个网络顾问和一个网络大使,并在他任期前几个月内制定出一套国家网络安全战略。特朗普之前数次呼吁苹果帮助联邦调查局从 iPhone 收集犯罪信息,所以只有在这些设备上安装了后门,才能采用这样手法,否则,使设备更难以入侵将不符合特朗普的呼吁和竞选期间的目标。 稿源:cnBeta.com,有删改;封面:百度搜索

Mirai 竞争对手出现,新僵尸网络针对美国西海岸发动大规模 DDoS 攻击

据 cloudflare 消息,安全研究人员近日发现了一种新的 DDoS 攻击僵尸网络,已针对美国西海岸等地区进行网络攻击长达 10 日之久。 这个尚未被命名的僵尸网络攻击于感恩节前夕(11月23日)被研究人员发现,在 8.5 个小时内不间断对目标进行 DDoS。 安全公司 Cloudflare 表示,这些僵尸网络攻击十分有规律。 “黑客从黑色星期五开始夜复一夜进行 DDoS 攻击,流量基本维持在 320 gbps,峰值可达 480 gbps”。然而从本周二( 11 月 29 日)起,事情变得有趣了,攻击者在休息一天之后开始了 24 小时不间断的工作。 最引起研究人员好奇的是,这些攻击并非来自近日非常流行的 Mirai 僵尸网络,他们使用不同软件并且是针对 TCP(L3/L4) 协议发起的攻击,受攻击地区也主要集中于美国西海岸。 物联网僵尸网络引起了越来越多的关注。由于 Mirai  源代码的公开发布,网络犯罪分子也早已采取措施积累属于自己的僵尸网络大军、频繁发动攻击测试影响力。研究发现黑客们或使用 DDoS 攻击作为掩饰,暗中进行其他类型的网络犯罪,如窃取敏感数据等,令人担忧的是,2017 年 DDoS 攻击或借助各大僵尸网络进一步崛起。 稿源:本站翻译整理, 封面: 百度搜索

俄罗斯央行遭黑客入侵,超 3100 万美元被盗

据外媒报道,俄罗斯央行遭到重大网络攻击,黑客窃取了 20 亿卢布(超过 3100 万美元)。 警察守卫莫斯科中央银行总部入口 俄罗斯中央银行周五( 12 月 2 日)发表声明确认了攻击事件并表示正在进行调查,但没有提供攻击时间等具体细节。央行官员 Artem Sychev 称网络罪犯分子入侵银行系统、伪造用户凭证试图转走 50 亿卢布,经过银行安全团队应急处理,冻结了部分账户追回了 2600 万美元。 今年 2 月,黑客通过全球银行结算系统 SWIFT 从孟加拉中央银行转走 8100 万。 周五( 12 月 2 日)早些时候, 俄罗斯联邦安全局发表声明称已成功挫败了国外势力对金融系统的大规模网络攻击。攻击拟于 12 月 5 日发动,攻击者的服务器属于乌克兰公司 BlazingFast、物理位置在荷兰。 现在看来,黑客不仅针对央行,还针对私人银行和客户试图转移资金。这次网络攻击事件标志着最新一轮针对全球金融机构袭击的到来。 稿源:本站翻译整理,封面来源:百度搜索

远程访问管理工具 AirDroid 存漏洞,泄露设备认证信息、执行代码

Zimperium 公司称 Android 远程管理工具 AirDroid 存在多个漏洞,允许攻击者发动中间人攻击,远程执行恶意代码、更新恶意 APK 、获取敏感信息。 根据谷歌应用商店数据,AirDroid 应用程序已被下载超过 5000 万次。 Zimperium 研究人员发现,AirDroid 使用不安全通信信道,给统计服务器发送认证数据。且加密密钥的应用本身采用硬编码(ECB模式)加密。攻击者可以在同一网络上进行中间人攻击,获取请求中泄露的设备认证信息。冒充受害人的设备执行各种 HTTP 或 HTTPS 协议向 AirDroid API 端点请求并重定向流量到一个恶意的代理,从而在目标设备上远程执行代码、注入恶意 APK 更新。 攻击者还可以获得完全访问该设备,并看到用户敏感的数据,包括电子邮件地址和密码等。 目前漏洞没有被修复,为了解决这些问题,AirDroid 只能使用安全通信通道(HTTPS),避免 SSL 中间人攻击,使用安全密钥交换机制,更新升级数字验证文件。 稿源:本站翻译整理,封面来源:百度搜索

都是套路:ATM 转账新规刚实施,骗子已经用上了

为降低电信诈骗所带来的伤害,央行今年 9 月份牵头发布了《防范和打击电信网络诈骗犯罪的通告》。其中规定,个人通过银行自助柜员机(ATM)向非同名账户转账的,资金 24 小时后到账。 12 月 1 日是央行新规实施首日,上述 ATM 转账新规便立刻发挥作用,帮助男子保住数万元涉嫌被诈骗的资金。然而没想到的是,新规刚刚实施,就有骗子找到了新规的漏洞。 有网友爆料称,ATM 机转账 24 小时到帐还可撤回的政策才出来三天,骗子已经用上了。前天一个陌生电话打来订货,不说要什么就说配 5000 块的货,发了 ATM 转账凭证过来,然后就不停催发货,打银行客服查询确实有这交易,不过还是多了心眼没发货,到今天了 24 小时钱也没到账,银行查询是该笔交易已撤销。 虽然不清楚事件的真相,这里也提醒大家,ATM 转账是可以24小时撤销的,如果有必要,可以要求客户通过银行柜台或电子银行转账,后两者是实时到账的。 稿源:cnBeta.com, 封面:百度搜索

欧美联合执法捣毁国际犯罪基础设施平台“ Avalanche”,80 万恶意网站被封

据外媒报道,2016 年 11 月 30 日,经过四年多的调查,来自德国警察、美国司法部和联邦调查局、欧洲刑警组织等 30 个国家的检察官和调查人员进行了一场国际执法合作,摧毁了国际犯罪基础设施平台 Avalanche 。 Avalanche 网络是一个用于启动和管理大规模全球恶意软件攻击和洗钱活动的交付平台。 国际刑警组织发现 Avalanche 在 2009 年开始利用僵尸网络发送钓鱼邮件、恶意软件,占当年所有网络钓鱼攻击钓鱼三分之二的份额,利用强大的躲避技术防范执法机关的追查。 这次逮捕行动,共逮捕了 5 人,搜查了 37 处房屋,并查获了 39 台服务器,发现 180 多个国家的受害者感染了恶意软件,并联系运行商远程强制关闭了 221 个服务器。这次行动堪称史上最大规模的利用恶意网络流量打击僵尸网络行动,超过 80 万恶意网站被阻断。 此前,欧洲刑警组织还了开展“钱骡行动”打击网络金融犯罪、逮捕 178 人。这次国际行动再次体现司法、执法部门与运行商的合作可以有效打击网络金融犯罪团伙。 稿源:本站翻译整理,封面来源:百度搜索

贝宝(PayPal)修复安全漏洞曾允许黑客窃取 OAuth 令牌

Adobe 公司软件工程师 Antonio Sanso 发现在线支付工具贝宝(PayPal)存在严重安全漏洞,允许黑客窃取第三方开发者开发的应用程序在支付时使用的 OAuth 凭证。 研究员称其他使用此类安全认证标准的网站上也存在此类问题,包括 Facebook 和 Google 。 漏洞归结于 PayPal 如何处理返回的应用程序授权认证令牌即 REDIRECT_URI 参数。 开发人员可通过特定 dashboard 注册应用使用 PayPal 支付服务,之后应用可生成令牌请求并发送到中央授权服务器,服务器会制定返回参数 REDIRECT_URI 正常情况: redirect_uri=https://demo.paypal.com/loginsuccessful&nonce=&newUI=Y 但是由于 PayPal 可使用 localhost 作为 REDIRECT_URI 参数。 将返回页面重定向至黑客自己设置的 localhost 页面 redirect_uri=http://localhost.intothesymmetry.com/&nonce=&newUI=Y 黑客可从自己的页面中提取 PayPal 返回的支付请求中的认证令牌信息, 研究员称早在九月就将漏洞报告到 PayPal ,但 PayPal 回应说:“这不是一个漏洞”。PayPal 分析了报告,并最终在 11 月份发布更新,研究人员也获得了相应赏金。 稿源:本站翻译整理,封面来源:百度搜索

沙特遭到毁灭性黑客攻击,民航总局关键数据被清空

彭博社 援引知情人士的消息报道,国家支持的黑客过去两周对沙特阿拉伯发动了一系列毁灭性的网络攻击,大肆进行破坏,抹掉了包括民航总局在内的多个政府机构计算机上的数据。沙特表示正对此展开调查。消息来源称数字证据显示攻击源头是在伊朗。报道称,这次网络攻击的猛烈程度让沙特官员措手不及,民航总局总部的数千台计算机遭到破坏,关键数据遭到清空,迫使其停工了数天。沙特官方声称攻击没有影响航空运输、机场运营和导航系统,称攻击只破坏官方的管理系统。 稿源:solidot奇客, 封面:百度搜索

委内瑞拉陆军网站被黑,军队数据库 3000 帐户详细信息曝光

据外媒报道,昨日委内瑞拉陆军网站遭黑客 Kapustkiy 入侵,军队数据库中至少 3000 账户详细信息遭到曝光,随后 Kapustkiy 表示他还发现了委内瑞拉陆军的 webmail 系统漏洞,可任意登录获取所有注册用户的个人信息。但他“并没有这么做”, Kapustkiy 强调其多次入侵各国政府网站旨在推动网站漏洞的修复。 黑客的努力似乎并没有白费,目前意大利和印度当局已表态愿意与 Kapustkiy 合作一起修补已发现的官网漏洞。 相关阅读: 黑客 Kapustkiy 入侵印度多个高级委员会网站,宣布加入“希腊黑客军团” 黑客 Kapustkiy 入侵匈牙利人权基金会网站,20,000用户敏感信息泄露 黑客 Kapustkiy 入侵意大利政府网站,数据库泄露 4.5 万用户信息 黑客 Kapustkiy 继续犯案,印度驻纽约大使馆和两所高校数据库被“拖库” 黑客 Kapustkiy 再次犯案,巴拉圭驻台湾大使馆数据库被“拖库” 印度驻外大使馆多个员工数据库惨被“拖库” 稿源:本站翻译整理, 封面:百度搜索