Change Healthcare 证实，自 2 月份遭受勒索软件攻击以来，几乎整整九个月，其信息交换中心服务已恢复正常运行。 在平常的一年里，这家医疗保健机构要处理 150 亿笔交易，是美国所有信息交换中心中处理交易最多的。它负责整个美国医疗保健系统中医疗保健提供商、医院、从业人员和患者之间的支付和交易。据美国医院协会（AHA）称，2 月份 ALPHV/Blackcat 的勒索软件攻击导致次月高达 94% 的医院受到财务影响。 通过更新网站状态页面确认的这项服务的恢复，标志着 Change Healthcare 从攻击中整体恢复的一个重要里程碑，目前该恢复工作已基本完成，但尚未完全结束。 他们没有使用多因素身份验证，这让我大吃一惊。网络没有被分割，这让我大吃一惊…… 在短短两个月内，绝大多数功能都已重新上线，并且至少部分恢复。唯一尚未完全恢复的业务功能是 Clinical Exchange（电子病历信息交换）、MedRX（药房报销管理）和支付方打印通信多渠道分发系统（支付文件打印）。 然而，医疗服务提供者将在更长的时间内感受到这一事件带来的巨大财务影响。 几乎就在 Change Healthcare 被 ALPHV 打得落花流水之后，医疗服务提供商就报告了财务困难。到 3 月初，超过三分之一的医院表示，他们一半以上的收入受到了支付中断的影响，近 60% 的医院表示每天的收入缺口达到或超过 100 万美元。 联合健康（UnitedHealth）旗下的 Optum 于 3 月 1 日启动了 “临时资金援助计划”，以支持医疗机构解决现金流问题。联合健康旗下的 Change Healthcare 在发布恢复信息交换中心服务的最新消息时也表示，截至 10 月 15 日，已经偿还了 32 亿美元的贷款。 无息借给医疗服务提供者的资金总额被认为超过了 60 亿美元。根据联合健康最近的财报[PDF]，仅在 3 月底，Change Healthcare 为修复此次攻击就花费了 8.72 亿美元，而此后的费用已远远超过 20 亿美元（含税）。 The Register联系了Change Healthcare公司要求发表声明，但该公司没有立即做出回应。 根据美国卫生与公众服务部（HHS）最近的统计数据，约有 1 亿人受到了 Change Healthcare 大型漏洞的影响。美国医疗协会认为，该公司处理的美国公民医疗报销申请约占三分之一，而美国人口约为 3.37 亿，这意味着美国近三分之一的人口受到影响，绝大多数 Change Healthcare 患者的信息受到泄露。 人们的数据被泄露的程度各不相同，但全名、电子邮件地址、银行数据、报销记录等都被窃取了。 事情发生后不久，联合健康公司首席执行官安德鲁-威蒂（Andrew Witty）自然被传唤到国会，解释究竟是如何允许这种武器级的事件发生的。 他向议员们解释说，ALPHV 的附属公司使用窃取的凭证登录了 Citrix 门户网站，你猜对了，该门户网站没有启用多因素身份验证 (MFA)。 威蒂在接受质询时谈到了公司向勒索者付款的决定，此前曾有传言称，此举是基于对已知 ALPHV 钱包的区块链分析而做出的。他向参议员们证实，联合健康确实向攻击者支付了 2200 万美元。 他承认自己是授权付款的人，并表示这 “是我不得不做出的最艰难的决定之一。我不希望任何人做出这样的决定”。 在首席执行官作证后，专家们向 The Register 表示，网络犯罪分子利用的安全漏洞相当于 “严重疏忽”。 Contrast Security 公司网络战略高级副总裁汤姆-凯勒曼（Tom Kellermann）说：“他们没有使用多因素身份验证，这让我大吃一惊。“我对网络没有分段感到震惊。他们在明知网络已被入侵的情况下，却没有对该环境进行强有力的威胁猎杀，这让我大吃一惊。坦率地说，我认为这是令人震惊的疏忽。”     转自安全客，原文链接：https://www.anquanke.com/post/id/302062 封面来源于网络，如有侵权请联系删除

ArmorCode宣布其ASPM平台的增长，能够统一AppSec和基础架构漏洞管理。 ArmorCode中基于风险的漏洞管理（RBVM）的持续创新使安全团队能够通过增强的优先级、自动化、资产和修复工作流来处理基础设施、云和应用程序中的漏洞，为企业提供全面的风险管理方法。 ArmorCode 提供了一个独立的治理层，可将多种扫描工具（包括基础架构和应用程序安全扫描仪）的发现整合到一个视图中。凭借先进的人工智能功能和无代码自动化，该平台简化了复杂的漏洞分流和修复过程，大大减少了企业管理多样化和广阔的安全环境所需的时间、精力和成本。 安全团队面临着一些严峻的挑战，包括基础设施和云资产的分散可见性、需要处理的漏洞数量过多、资产责任的所有权混乱、耗时的人工流程导致修复速度减慢等等。 ArmorCode 平台通过提供统一、全面的可见性，简化工作流程，以及利用人工智能驱动的自动化提供更快、更高效的漏洞管理，帮助团队克服这些挑战。 ArmorCode首席运营官马克-兰伯特（Mark Lambert）说：“当今的安全团队被越来越多的基础设施、云和应用资产中的大量漏洞所淹没。ArmorCode 的 RBVM 持续增长，提供了一个统一的、以风险为中心的视图，横跨所有漏洞来源，从而迎头解决了这一挑战。通过结合先进的人工智能和自动化，我们使基础设施和应用安全团队能够专注于最重要的事情，高效、大规模地修复关键漏洞，从而实施更有效的持续威胁暴露管理（CTEM）计划。” 传统的漏洞管理方法仅根据严重程度来确定漏洞的优先级，而ArmorCode则不同，它采用的风险评分模型结合了业务背景和威胁情报。这样，安全团队就能将精力集中在对企业构成最大威胁的漏洞上，从而降低风险敞口，提高运营效率。ArmorCode 与供应商无关的方法可确保来自任何扫描仪的发现都能在平台内进行关联和分流，从而为团队提供完整、准确的漏洞管理计划。 为进一步简化漏洞管理，ArmorCode 平台将基础设施和云资产提升为 RBVM 流程中的一等公民。通过关联多个来源的资产数据，ArmorCode 提供了准确、完整的资产可视性。 这使企业能够在基础设施、云、容器和应用程序的整个生态系统中跟踪漏洞，并通过将漏洞与资产所有者和责任直接关联，实现修复工作流程的自动化。这种以资产为中心的方法加强了优先级排序、修复和自动化，使团队能够进行更精确的漏洞管理，并更有效地关闭积压工作。 Key RBVM + ASPM 的主要优势包括： 统一的漏洞管理： 唯一真正跨基础架构、云、容器和应用程序集成漏洞管理的平台。没有其他 RBVM 提供商能以同样的方式将 AppSec 和基础架构安全结合到一个平台中，实现全面的企业级风险管理。 人工智能驱动的 RBVM： ArmorCode 已处理超过 100 亿个发现，也是唯一一家在数据量、多样性和验证方面支持 AI 功能（如 AI Correlation 和 AI Remediation）的供应商。这种可扩展性可帮助安全团队降低 MTTR、减少浪费并加快工作速度。 以资产为中心的自动化工作流： 在整个漏洞管理生命周期中，通过无代码自动化为团队赋能。其灵活性、以云和基础架构资产为中心的工作流程以及定制功能使 ArmorCode 能够适应任何企业的特定 RBVM 需求。 与供应商无关的洞察力： 提供准确、可靠的漏洞优先级排序，不受专有扫描仪的影响，实现厂商兼容。 ArmorCode ASPM 平台在统一应用安全与基础架构漏洞管理方面的进一步发展，顺应了客户对更高效的漏洞管理工具的需求，这些工具可减轻安全团队的负担，并在整个漏洞生命周期中提供可操作的洞察力。 ArmorCode平台拥有250多个集成和100亿个处理结果，为统一和管理跨内部部署和混合环境的漏洞提供了最全面的解决方案，使企业能够建立统一的CTE。     转自安全客，原文链接：https://www.anquanke.com/post/id/302071 封面来源于网络，如有侵权请联系删除

卫星和空间技术领导者 Maxar Space Systems 公司遭遇数据泄露。 “我们的信息安全团队发现，一名使用香港 IP 地址的黑客锁定并访问了 Maxar 系统，该系统中包含某些含有员工个人数据的文件。” “当我们在 2024 年 10 月 11 日发现这一情况时，我们立即采取了行动，以防止对系统的进一步未经授权的访问。尽管如此，根据我们的调查，黑客很可能在采取这一行动之前已经访问了系统中的文件大约一个星期。” 以下员工数据已被访问： 姓名 家庭住址 社会保险号 业务联系信息（电话、地址、电子邮件等） 性别 就业状况 员工编号 职位名称 聘用日期、角色开始日期，以及（如适用）终止日期 主管 部门 攻击者访问的文件不包含任何银行账户信息或出生日期。 Maxar 在发现这一问题后展开了调查，与网络安全专家和执法部门合作评估漏洞的范围，并确保受影响系统的安全。 这次攻击发生时，太空和国防领域正面临着不断升级的网络威胁，对手的目标是战略基础设施和敏感的人员数据。     转自安全客，原文链接：https://www.anquanke.com/post/id/302094 封面来源于网络，如有侵权请联系删除

MITRE收集、分析了2023年6月至2024年6月之间披露3.1万个漏洞，并发布了2024年最危险的软件漏洞TOP 25名单。 该名单可以帮助企业评估企业基础设施的安全情况，MITRE表示：“如果企业的基础设施涉及相关的漏洞弱点，就可能受到未知黑客的攻击，包括全完接管系统、窃取数据或系统无法运行。” MITRE对3.1万个漏洞进行了详细地分析，并根据每个漏洞的严重性和利用频率进行评分，其中会重点关注添加到CISA已知利用漏洞（KEV）目录中的安全漏洞。MITRE强调，强烈建议审查列表上的漏洞类型，并指导其软件安全策略，防止软件生命周期中可能出现的严重漏洞。 以下是2022年CWE前25个最危险的软件漏洞列表：       转自Freebuf，原文链接：https://www.freebuf.com/news/415862.html 封面来源于网络，如有侵权请联系删除

据The Hacker News消息，攻击面管理公司 Censys 的分析发现，有多达14.5万个工业控制系统 （ICS） 暴露于公开的互联网络中，涉及175 个国家和地区，仅美国就占总暴露量的三分之一以上。 这些暴露指标来自几种常用工控系统协议，包括Modbus、IEC 60870-5-104、CODESYS、OPC UA 等。 Censys发现，38% 的ICS暴露位于北美，35.4% 位于欧洲，22.9% 位于亚洲，1.7% 位于大洋洲，1.2% 位于南美洲，0.5% 位于非洲。其中，Modbus、S7 和 IEC 60870-5-104 在欧洲更广泛，而 Fox、BACnet、ATG 和 C-more 在北美更常见。这两个区域使用的一些工控系统服务包括 EIP、FINS 和 WDBRPC。 Censys 联合创始人兼首席科学家 Zakir Durumeric 在一份声明中表示，许多暴露的工控协议其历史可以追溯到上世纪70年代，但目前仍然是工业流程的基础，且没有像其他领域一样得到相应的安全改进。 Censys 也发现，用于监控和与工控系统交互的人机界面（HMI）也越来越多地通过互联网支持远程访问。 大部分暴露的人机界面位于美国，其次是德国、加拿大、法国、奥地利、意大利、英国、澳大利亚、西班牙和波兰。 有趣的是，大多数已识别的人机界面和 ICS 服务都位于移动或商业级互联网服务提供商 (ISP)，如 Verizon、Deutsche Telekom 、Magenta Telekom 和 Turkcell 等。人机界面通常包含公司徽标或工厂名称，这有助于识别所有者和行业，但工控协议很少提供相同的信息，因此几乎无法识别和通知暴露的所有者。 要解决这个问题，可能需要与托管这些服务的主要电信公司合作。 暴露的工控系统和 OT 网络为攻击者提供了广泛的攻击面，因此企业组织需要采取措施来识别并加以保护，包括更新默认凭证并监控网络是否存在恶意活动。 针对工控系统的网络攻击有所增加 专门针对工控系统的网络攻击相对较少，迄今为止仅发现了 9 种恶意软件。但自俄乌战争爆发以来，针对该系统的恶意软件攻击正有所增加。一些比较典型的僵尸网络恶意软件利用 OT 网络的默认凭证，不仅实施了分布式拒绝服务 （DDoS） 攻击，还擦除了其中的数据。 今年7月初，一家位于乌克兰的能源公司成为FrostyGoop恶意软件的目标，该恶意软件被发现利用 Modbus TCP 通信来破坏运营技术（OT）网络。FrostyGoop也称为 BUSTLEBERM，是一种用 Golang 编写的 Windows 命令行工具，可导致公开暴露的设备出现故障，并最终导致拒绝服务 （DoS）。 根据Censys 捕获的遥测数据，在 2024 年 9 月 2 日至 10 月 2 日的一个月内，就有 1088175 台 Modbus TCP 设备暴露在互联网中。 去年，美国宾夕法尼亚州阿利基帕市水务局也因为暴露的Unitronics可编程逻辑控制器（PLC）而被黑客组织攻击，导致相关系统下线并被迫改为手动操作。     转自Freebuf，原文链接：https://www.freebuf.com/news/415908.html 封面来源于网络，如有侵权请联系删除

谷歌透露，其基于人工智能的模糊工具OSS-Fuzz 已被用于帮助识别各种开源代码库中的26个漏洞，包括 OpenSSL 加密库中的一个中度漏洞。这一事件代表了自动化漏洞发现的一个里程碑：每个漏洞都是使用AI发现的，利用AI生成和增强的模糊测试目标。 提到的OpenSSL漏洞是CVE-2024-9143（CVSS评分：4.3），一个超出范围的内存写入缺陷，可能导致应用程序崩溃或远程代码执行。这个问题已经在OpenSSL的3.3.3、3.2.4、3.1.8、3.0.16、1.1.1zb和 1.0.2zl版本中得到了解决。 破题人类无法发现的漏洞 谷歌在2023年8月增加了利用大型语言模型（LLM）来提高OSS- Fuzz中模糊覆盖率的能力，并表示该漏洞可能在代码库中存在了20年，而且在现有的由人类编写的模糊目标中是无法发现的。此外，他们还指出，使用AI生成模糊测试目标已经提高了272个C/C++项目的代码覆盖率，新增了超过370,000行新代码。 谷歌解释说，这样的漏洞之所以能够长时间未被发现，一个原因是线覆盖率并不能保证函数没有漏洞。代码覆盖率作为一项指标，无法衡量所有可能的代码路径和状态，不同的标志和配置可能会触发不同的行为，从而暴露出不同的漏洞。这些人工智能辅助的漏洞发现也是可能的，因为LLMs被证明擅长模仿开发人员的模糊工作流程，从而允许更多的自动化。正如谷歌之前就提到过，其基于LLM的框架Big Sleep帮助发现SQLite开源数据库引擎中的一个零日漏洞。 C++代码安全性大幅提升 与此同时，谷歌一直在努力将自己的代码库转换为内存安全语言，如Rust，同时还对现有的C++项目（包括Chrome）中的空间内存安全漏洞（当代码可能访问超出其预定范围的内存时）进行改造。其中包括迁移到安全缓冲区和启用强化的libc ++，后者将边界检查添加到标准的 C ++数据结构中，以消除大量的空间安全缺陷。它进一步指出，纳入这一变化所产生的间接费用很小（即平均0.30%的绩效影响）。 谷歌表示，由开源贡献者最近添加的“hardened libc++”引入了一系列安全检查，旨在捕获生产中的越界访问等漏洞。虽然C++不会完全成为内存安全的语言，但这些改进降低了风险，从而使得软件更加可靠和安全。 具体来说，hardened libc++通过为标准C++数据结构添加边界检查来消除一大类空间安全漏洞。例如，hardened libc++确保对std::vector的每个元素的访问都保持在其分配的边界内，防止尝试读取或写入超出有效内存区域的尝试。同样，hardened libc++在允许访问之前检查std::optional是否为空，防止访问未初始化的内存。这种改进对于提高C++代码的安全性和可靠性具有重要意义。     转自Freebuf，原文链接：https://www.freebuf.com/news/415915.html 封面来源于网络，如有侵权请联系删除  

苹果公司19日发布安全更新，修复了两个被用于攻击Mac用户的安全漏洞，并建议所有用户安装。 苹果在官网发布的安全公告中表示，发现了两个漏洞（CVE-2024-44308、CVE-2024-44309），可能在基于英特尔处理器的Mac系统上“被积极利用”。这类漏洞属于零日漏洞，因为在漏洞被攻击者利用时，苹果尚未意识到它们的存在。 为修复这两个漏洞，苹果发布了一系列软件更新，包括macOS、iOS和iPadOS。 目前尚不清楚针对Mac用户的攻击是由谁发起，也不清楚有多少用户成为目标，或者是否有用户设备已经被成功攻破。这些漏洞由谷歌威胁分析小组报告，该小组专注于调查政府支持的黑客行为和网络攻击。这表明，此次攻击可能涉及某个政府背景的行为者。而政府支持的网络攻击有时会使用商业间谍软件针对目标设备展开行动。 苹果在公告中表示，这些漏洞与WebKit和JavaScriptCore有关。WebKit是Safari浏览器运行网络内容的核心引擎，同时也是恶意攻击者的常见目标。攻击者通常通过利用WebKit引擎中的漏洞，侵入设备的软件系统，进而窃取用户的隐私数据。 安全公告进一步指出，这些漏洞可通过诱使易受攻击的苹果设备处理恶意构造的网络内容（如伪造的网站或电子邮件），触发任意代码执行，从而在目标设备上植入恶意软件。 苹果建议用户尽快更新其iPhone、iPad和Mac设备，以降低安全风险。 苹果生态已成零日攻击高发地带 加上这两个漏洞，苹果在2024年已累计修复了六个零日漏洞。今年的首次修复发生在1月，随后在3月修复了两个漏洞，5月修复了第四个漏洞。 相比2023年修复的20个遭在野利用的零日漏洞，今年的情况有了显著改善。 以下是2023年苹果修复零日漏洞的时间表： 11月修复的两个零日漏洞（CVE-2023-42916和CVE-2023-42917） 10月修复的两个零日漏洞（CVE-2023-42824和CVE-2023-5217） 9月修复的五个零日漏洞（CVE-2023-41061、CVE-2023-41064、CVE-2023-41991、CVE-2023-41992和CVE-2023-41993） 7月修复的两个零日漏洞（CVE-2023-37450和CVE-2023-38606） 6月修复的三个零日漏洞（CVE-2023-32434、CVE-2023-32435和CVE-2023-32439） 5月修复的三个零日漏洞（CVE-2023-32409、CVE-2023-28204和CVE-2023-32373） 4月修复的两个零日漏洞（CVE-2023-28206和CVE-2023-28205） 2月修复的另一个WebKit零日漏洞（CVE-2023-23529）。       转自安全内参，原文链接：https://www.secrss.com/articles/72598 封面来源于网络，如有侵权请联系删除

D-Link 发布了一则安全公告，涉及多款报废 (EOL) 和服务终止 (EOS) 路由器型号，包括 DSR-150、DSR-150N、DSR-250 和 DSR-250N。该公告强调了一个堆栈缓冲区溢出漏洞，该漏洞可能允许未经认证的用户执行远程代码。此关键问题影响运行固件版本 3.13 至 3.17B901C 的这些传统路由器的所有硬件版本。 自 2024 年 5 月 1 日起，D-Link 不再支持或修补这些型号。根据公告，“达到 EOL/EOS 的产品不再接收设备软件更新和安全补丁，D-Link 美国公司也不再提供支持”。 报告的漏洞是堆栈缓冲区溢出，这是一个常见但严重的漏洞，可导致远程代码执行（RCE）。这使得攻击者有可能在没有验证的情况下完全控制设备。受影响的型号包括 DSR-150： 所有硬件版本，固件版本 3.13 至 3.17B901C。 DSR-150N：所有硬件版本，固件版本 3.13 至 3.17B901C。 DSR-250： 所有硬件版本，固件版本 3.13 至 3.17B901C。 DSR-250N：所有硬件版本，固件版本 3.13 至 3.17B901C。 鉴于漏洞的严重性，D-Link 已声明不会为这些型号提供固件更新或补丁，因为它们的支持生命周期已经结束。 D-Link 强烈建议用户淘汰和更换这些路由器。该公司强调：“D-Link 美国公司建议退役和更换已达到 EOL/EOS 的 D-Link 设备。”继续使用不支持的设备会使网络暴露于关键漏洞，增加数据泄露的风险。 对于不确定其设备是否受影响的用户，D-Link 建议通过公告中提供的旧版网站链接检查其型号和固件版本。     转自安全客，原文链接：https://www.anquanke.com/post/id/302053 封面来源于网络，如有侵权请联系删除

美国政府问责局（GAO）19日发布报告指出，联邦机构可能需要重新审视其个人数据处理方式，以更好地保护公众的公民权利和自由。 报告指出，由于缺乏联邦层面的指导原则，联邦机构在数据收集、共享和使用方面形成了一系列零散的政策体系，无法系统性地保障公民权利和自由。 为了解决这一问题，政府问责局建议国会指定“一个适当的联邦机构”，为数据保护制定适用于所有联邦机构的统一指导方针或法规。同时，该机构应被赋予“明确的权限，能够做出必要的技术和政策决策；或者由国会直接明确相关政策选择。” 这一建议基于政府问责局向《首席财务官（CFO）法案》覆盖的24个联邦机构发放问卷后的调查结果。问卷内容涉及这些机构在使用新兴技术和数据能力时的情况，以及它们为确保个人可识别信息的安全所采取的措施。 政府问责局的调查发现，在这24个CFO法案机构中，有16个已经制定了相关政策或程序，以保护公民权利和自由；而另有8个机构尚未采取类似措施。 在这些机构努力保护公众公民权利和自由的过程中，最常遇到的问题包括“新兴技术相关保护措施的复杂性”以及“缺乏具有公民权利、自由保障和新兴技术所需技能的合格人员”。 政府问责局在报告中写道：“此外，这24个机构中有8个认为，额外的政府层面的法律或指导方针能够提高在保护公民权利和自由方面的一致性。一家机构指出，这类指导方针可以帮助消除目前在数据和技术治理方面存在的零散现象。” 报告还指出，这些机构内部均设有办公室，负责“依据联邦法律处理公众公民权利保护相关问题”。这些工作主要集中在处理公民权利的违规行为及相关投诉上。其中，国防部、国土安全部、司法部和教育部等4个机构专门设立了负责管理机构范围内公民自由保护的办公室。而其余20个机构则大多采用“分散化的方法”，通过在数据收集、共享和使用过程中实施保护措施来维护公民自由。 对于政府问责局的这份报告，这些机构并未明确表示支持或反对。不过，住房和城市发展部、社会保障管理局以及美国国际开发署提供了书面反馈，另有10个机构向问责局提交了技术性意见。     转自安全内参，原文链接：https://www.secrss.com/articles/72574 封面来源于网络，如有侵权请联系删除

研究人员发现，黑客可以通过利用近场通信 (NFC) 大规模套现受害者资金的新技术。  地下论坛上的一篇帖子 该技术由 ThreatFabric 命名为Ghost Tap，可让网络犯罪分子从与 Google Pay 或 Apple Pay 等移动支付服务关联并中继 NFC 流量的被盗信用卡中套现资金。 这家荷兰安全公司称：“犯罪分子现在可以滥用 Google Pay 和 Apple Pay，在几秒钟内将您的点击支付信息传输到全球。”“这意味着即使没有您的实体卡或手机，他们也可以在世界任何地方通过您的账户付款。” 这些攻击通常通过诱骗受害者下载手机银行恶意软件来实施，恶意软件可以使用覆盖攻击或键盘记录器来获取受害者的银行凭证和一次性密码。或者，它可能涉及语音钓鱼组件。 一旦掌握了信用卡详细信息，攻击者就会将信用卡与 Google Pay 或 Apple Pay 关联起来。但为了避免发卡机构封锁信用卡，点击支付信息会被转发给若干名“钱骡”（黑色产业链中负责洗钱或提取现金的人），后者负责在商店进行欺诈性购买。 这是通过一种名为NFCGate的合法研究工具实现的，它可以捕获、分析或修改 NFC 流量。它还可用于通过服务器在两个设备之间传递 NFC 流量。 NFCGate开源项目作者德国达姆施塔特工业大学安全移动网络实验室的研究人员表示：“一台设备作为‘读取器’读取 NFC 标签，另一台设备使用主机卡模拟 (HCE) 模拟 NFC 标签。” 尽管 NFCGate 之前曾被不良行为者使用，将 NFC 信息从受害者的设备传输给攻击者，正如ESET 早在 2024 年 8 月使用 NGate 恶意软件所记录的那样，但最新的进展标志着该工具首次被滥用来传递数据。 ThreatFabric 指出：“网络犯罪分子可以在装有被盗卡的设备和零售商的 PoS [销售点] 终端之间建立中继，保持匿名并进行更大规模的套现。” “持有被盗卡的网络犯罪分子可能远离使用该卡的地点（甚至是不同的国家），也可能在短时间内在多个地点使用同一张卡。” 这种策略的优势在于，它可以用来在线下零售商处购买礼品卡，而网络犯罪分子无需亲自到场。更糟糕的是，它可以被用来在短时间内招募不同地点的多名钱骡，从而扩大欺诈计划的规模。 Ghost Tap攻击的检测难度在于，交易看起来好像来自同一台设备，从而绕过了反欺诈机制。连接卡的设备也可能处于飞行模式，这会使检测其实际位置变得困难，并且很难发现它实际上并未用于在 PoS 终端进行交易。 ThreatFabric 指出：“我们怀疑，随着网络的不断发展，通信速度越来越快，再加上 ATM/POS 终端缺乏适当的基于时间的检测，使得这些攻击成为可能，因为带有卡的实际设备物理上远离进行交易的地点（设备不在 PoS 或 ATM 上）。” “由于能够迅速扩大规模并在匿名的掩护下运作，这种套现方式对金融机构和零售机构都构成了重大挑战。”     转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/334uX_p2THzcfpBuTMjkyA 封面来源于网络，如有侵权请联系删除