5月13日，苹果和谷歌正式宣布推出一项跨平台新功能，旨在发现那些未经用户授权的不明蓝牙追踪设备。 该功能被称为“检测无授权位置追踪器（DULT）”，适用于最新发布的苹果 iOS 17.5版本以及谷歌Android 6.0 及更高版本。一旦检测到未授权的追踪设备，该功能会向用户推送“发现物品与您一同移动（Found Moving With You）”的风险提示。 无论是其中哪一种系统的用户，收到提示后均可选择查看跟踪器的标识符，还可以激活追踪器发出声音便于定位，并禁止其追踪行为。 苹果和谷歌表示，这种跨平台的功能合作为行业首创，旨在促成一道行业标准，以减少追踪设备的滥用，保护用户安全和隐私。据悉，该跨平台方案的提议最初是由两家科技巨头在一年前公布。 目前苹果的AirTag和第三方Find My网络配件已经与新功能兼容，基于谷歌 ” 查找我的设备 ” 网络的位置追踪产品比如三星的SmartTag也支持该功能，Chipolo、eufy、Jio、摩托罗拉和Pebblebee也承诺使未来的产品兼容。 自苹果提出AirTag以来，被不法分子用于恶意或犯罪目的追踪行为时有发生，虽然苹果此前曾提供过允许用户找到附近可能被滥用的 AirTag 设备的功能，但据《纽约时报》报道，受害者报告说，这种功能具有滞后性，他们通常会在被追踪12小时后才收到警报。 2023 年 10 月对苹果提起的集体诉讼称，AirTag已成为“跟踪者使用的最危险和最可怕的技术之一”，它们可用于确定“跟踪受害者的实时位置信息”。   转自FreeBuf，原文链接：https://www.freebuf.com/news/400993.html 封面来源于网络，如有侵权请联系删除

近日，据Rstoreprivacy报道，曾标榜自身安全可靠的加密电子邮件服务Proton Mail，因再次因向执法部门提供用户信息而陷入舆论漩涡。 总部位于瑞士的Proton Mail提供端到端加密的电子邮件服务，宣称用户的内容和附件对他们而言是不可读的，并且鼓吹其提供“最高级别的隐私标准”和“无跟踪无广告”的特性。 然而，事实并非如此，ProtonMail仍可访问部分用户信息，并在压力下被迫泄露。2021年，ProtonMail向瑞士警方提供了其试图追踪的一名网络用户的IP地址和设备详细信息。这名用户是一名法国气候活动人士，在ProtonMail向法国警方提供了其隐私数据后被捕。 在最初的争议过后不久，ProtonMail就从其网站上删除了有关不跟踪用户IP地址的声明。此前，ProtonMail也曾被指控向瑞士当局提供用户实时监控功能。 最近的一次事件中，ProtonMail向西班牙警方提供了涉嫌支持加泰罗尼亚分离主义者的嫌疑人的账户恢复电子邮件地址信息。西班牙警方之后将该恢复地址交给苹果公司，后者能够识别出与该账户相关的人员。 ProtonMail告诉维权组织RestorePrivacy，他们清楚该案件，但由于瑞士反恐法律，他们别无选择。 “正如本案中用于识别恐怖嫌疑犯的数据来自苹果公司一样，ProtonMail仅保存最少的用户信息，”Proton Mail的发言人辩称：“Proton Mail默认提供隐私保护，而非匿名。因为匿名需要用户采取特定的操作来确保适当的网络安全运营(OpSec)，例如不添加用户的Apple账户作为可选的恢复方法。” 总之，Proton Mail服务虽然能保障用户的邮件内容安全，但任何未经端到端加密的用户信息，在政府发出传票时都将可能被泄露。根据Rstoreprivacy发布的Proton透明度报告，2023年Proton Mail遵守了5971次数据请求。   转自GoUpSec，原文链接：https://www.goupsec.com/news/16338.html 封面来源于网络，如有侵权请联系删除

最近披露的致命性黑客攻击为包括特斯拉和百度在内的自动驾驶厂商敲响了警钟。 4月底特斯拉CEO马斯克来华推动FSD自动驾驶在中国的落地，特斯拉也顺利成为首个通过全部4项中国汽车数据安全合规要求的外资车企。 FSD本身的“进化“也非常顺利。特斯拉表示，2024年第一季度特斯拉FSD真实路况总里程已达12.5亿英里（约20亿公里），有望在5月底达到20亿英里，并在一年之内达到60亿英里总量（马斯克曾表示60亿英里是FSD系统实现质变的一个重要节点）。 黑客攻击可导致致命车祸 近日，对FSD安全性信心十足马斯克遭遇当头一棒，特斯拉自动驾驶系统FSD（以及类似的基于视觉传感器方案的自动驾驶技术，例如百度Apollo项目）正面临一个全新的威胁。 新加坡安全研究人员发现了一种新的攻击方法，可以利用自动驾驶汽车摄像头传感器的弱点来欺骗汽车，甚至人为制造致命车祸（例如在停车让行路口让汽车冲上主路）。避免该攻击可能需要厂商更换自动驾驶视觉方案中的硬件组件。 该方法代号GhostStripe（论文链接在文末），可以通过向道路交通标志投射特殊的光线图案来干扰自动驾驶汽车的摄像头，使其无法识别标志。研究人员表示，该方法对特斯拉和百度Apollo等使用CMOS摄像头的自动驾驶汽车特别有效。 攻击技术细节 GhostStripe属于针对机器学习技术的对抗性攻击，利用了CMOS摄像头卷帘快门的弱点。CMOS摄像头逐行捕捉图像，这意味着图像的不同部分可能由不同光照条件下的传感器像素拍摄。研究人员利用这一点，向交通标志投射快速闪烁的不同颜色光线。由于每个像素接收的光线颜色不同，因此最终图像将出现奇怪的条纹图案（下图）： 结果是相机捕捉到的交通标识图像布满了与预期不匹配的线条，导致这些图片被裁剪并发送到汽车自动驾驶软件中的分类器（通常基于深度神经网络）进行分析时，分类器不会将该图像识别为交通标志，因此车辆不会对其进行操作（从而可能酿成重大车祸）。 GhostStripe攻击有两种版本： GhostStripe1：无需物理访问汽车。采用跟踪系统来监控目标车辆的实时位置，并相应地动态调整LED闪烁，以确保标志无法被正确读取。 GhostStripe2：需要物理访问汽车，在摄像机的电源线上放置一个传感器来检测取景时刻并完善定时控制以实现近乎完美的攻击。 攻击成功率超过九成 研究团队在配备Leopard Imaging AR023ZWDR（百度Apollo硬件参考设计中使用的相机）的真实道路和汽车上测试了GhostStripe攻击，发现其对停止、限速和让行标志的有效率分别为94%（第一种攻击方法）和97%（第二种攻击方法）。 值得注意的是，强光环境会降低攻击的成功率，因为攻击光被环境光淹没了。研究团队表示，不法分子在计划实施此类攻击时需要仔细挑选时间和地点。 缓解措施 研究者表示，自动驾驶汽车制造商可以采取以下措施来缓解GhostStripe攻击： 使用全局快门摄像头而不是卷帘快门摄像头。 随机化摄像头曝光时间（随机线扫描）。 采用更多摄像头交叉验证。 在自动驾驶汽车的AI系统中加入对抗训练，使其能够识别和抵御GhostStripe攻击。 点评：合规并不代表安全 GhostStripe攻击突显了（全）自动驾驶汽车面临的安全威胁的复杂性和不确定性，这并不是马斯克的“60亿英里“自动驾驶里程能够一劳永逸解决的问题。自动驾驶技术也许能够超越平庸的司机，但同时也增加了复杂的数字攻击面。 GhostStripe可用于发起致命攻击，而这只是自动驾驶技术面临的黑客攻击的冰山一角。数据安全合规并不代表网络安全合规，网络安全合规并不代表“产品安全”，汽车行业需要与网络安全行业深度合作，通过全面、持续、深入的”渗透测试“和安全加固，才能打造出真正安全可靠的自动驾驶技术。   转自GoUpSec，原文链接：https://www.goupsec.com/news/16341.html 封面来源于网络，如有侵权请联系删除

美国用于追踪安全漏洞的联邦数据库几乎陷入停顿。对新披露的漏洞和风险的分析几乎已经不存在，专家警告说，巨大的积压和持续的问题可能导致关键部门的供应链风险。 简单地说：国家漏洞数据库出了问题，而且没有一个有效的解决办法。 为了解决NVD的问题，就必须解决另外一个关键问题，Cyber Threat Alliance总裁兼首席执行官，国家安全委员会前网络安全协调员的Michael Daniel表示：谁应该负责向数据库填充信息，以提供全面和可操作的风险信息？关于这个数据库目前由国家标准技术研究院管理是否应该迁移到网络安全和基础设施安全局，甚至迁移到处理大部分漏洞管理流程的私营部门，还存在很大的争议。 “这些不同的方法各有利弊，安全和漏洞管理社区的相关利益相关者应该聚在一起达成共识，看哪种方法会产生最好的结果。一旦我们回答了这个问题，我们应该确保该功能得到充分资金支持和支持。” 根据NIST的数据，目前至少有9762个CVE尚未被NVD分析。这个数字可能还会继续增加。截至5月13日，NIST仅分析了5月份收到的近2000个新CVE中的两个。NIST在4月下旬承认了NVD的积压问题，当时该机构发布了一份通知，将问题归咎于“多种因素”，包括“软件的增加，导致漏洞增加，以及跨机构支持的变化。” NIST没有提供关于跨机构支持中断的更多详情，并且没有回应关于持续积压的评论请求。该机构在其4月的通知中表示，它正在“寻找更长期的解决方案”，包括可能建立一个由行业、政府和利益相关者组织合作的联盟，以改进NVD的现状。 据风险基础的漏洞管理平台Nucleus Security的联合创始人Scott Kuffer所说，NVD的积压可能会影响主要的网络安全供应商，如CrowdStrike、微软Defender for Endpoint，甚至一些领先的云安全姿态管理工具——例如Orca和Wiz。 “如果他们的主要扫描引擎是基于NVD的，那么他们检测漏洞的能力将受到严重影响。事实上大多数网络安全产品的扫描引擎都是这样的。那么接下来最大的问题是，你的环境中会有你看不见或不知道的漏洞。” 一些威胁分析师认为，私营部门应该承担更多的责任来检测和报告漏洞，因为行业已经具备实时检测的能力。私营部门实体已经负责将漏洞指定为CVE，他们的专业知识和敏捷性可以提高漏洞管理工作的整体效果。 对此持反对观点的分析师认为，数据库应该保留在联邦手中，以更好地促进公私部门在漏洞管理方面的合作，并确保一致的标准和监督。政府集中管理也可以有效减轻私营部门潜在的利益冲突，并确保跨部门风险管理机构解决关键漏洞，进一步保护国家安全和关键基础设施。 NVD计划不执行漏洞测试，因为它依赖于第三方安全研究人员、供应商和漏洞协调员来分配风险属性和额外信息给CVE。NVD工作人员负责从CVE描述中聚合数据点，并编译任何可以在公开在线找到的额外数据。 IT服务管理公司Chainguard的营销副总裁Kaylin Trychon在4月份给国会和商务部的一封信上签名，与其他近50名安全专业人士一起表达了恢复和增强NVD运营的需求。敦促国会对围绕数据库的挑战展开调查，并帮助恢复漏洞强化过程。 信中建议国会将 NVD 视为关键基础设施和基本服务，这样就有可能为数据库及其浓缩业务提供更多资金和国家资源。Trychon 认为，将 NVD 的责任交给私营部门将导致灾难。 “将会有更多的力量试图介入或取代NVD，这将在这个已经复杂的领域引起更多的混乱。这也将成为整个网安行业不可承受之重，导致一个更加严重的安全事故。” 安全专家指出，在放缓之前NIST分析师所做的一部分工作可以自动化，从而提供更高质量、更及时、更一致的NVD数据。但即便如此，面对资源日益匮乏的情况，NVD依旧必须要决定，以怎样的顺序来修补漏洞。 Trychon表示，“NVD数据有助于企业做出这些优先级决策，如果NVD数据不一致或不及时，企业就无法做出正确的优先排序决策，那么整个生态系统就会变得不那么安全。”   转自FreeBuf，原文链接：https://www.freebuf.com/news/400844.html 封面来源于网络，如有侵权请联系删除

近日，网络安全研究人员披露 Cinterion 蜂窝调制解调器中存在多个安全漏洞，黑客可能会利用这些漏洞访问受害者敏感信息，并执行任意代码。 Cinterion 蜂窝调制解调器最初由 Gemalto 开发，2022 年 7 月，Telit 从泰雷兹收购了该项业务。 卡巴斯基方面表示，这些安全漏洞允许黑客实现远程代码执行以及未经授权的权限升级，对工业、医疗保健、汽车、金融和电信行业的整体基础通信网络和物联网设备构成重大风险，完整安全漏洞列表如下： CVE-2023-47610（CVSS 评分：8.1）：一个缓冲区溢出漏洞，可允许未经身份验证的远程攻击者通过发送特制的 SMS 消息在目标系统上执行任意代码； CVE-2023-47611（CVSS 评分：7.8）：一个不正确的权限管理漏洞，可允许本地低权限攻击者将目标系统上的权限提升到制造商级别； CVE-2023-47612（CVSS 评分：6.8）：一种可供外部各方访问的文件或目录漏洞，该漏洞可能允许对目标系统具有物理访问权限的攻击者获取对目标系统上任何文件和目录（包括隐藏文件和目录）的读/写访问权限； CVE-2023-47613（CVSS 评分：4.4）： 一个相对路径遍历漏洞，可允许本地低权限攻击者从虚拟目录中逃脱，并获取对目标系统上受保护文件的读/写访问权限； CVE-2023-47614（CVSS 评分：3.3） ：暴露敏感信息漏洞，可允许本地低特权攻击者泄露目标系统上隐藏的虚拟路径和文件名； CVE-2023-47615（CVSS 评分：3.3）：通过环境变量暴露敏感信息的漏洞，可能允许本地低权限攻击者获得对目标系统的未经授权的访问； CVE-2023-47616（CVSS 评分：2.4） ：暴露的敏感信息漏洞，可能允许对目标系统具有物理访问权限的攻击者访问目标系统上的敏感数据。 其中最严重的漏洞是 CVE-2023-47610，远程黑客可通过发送特制的 SMS 消息在目标系统上执行任意代码。此外，攻击者还可以利用该访问权限来操纵 RAM 和闪存，从而在无需验证或物理访问的情况下对调制解调器实施更多控制。 其余安全漏洞源于处理 MIDlet 时的安全漏洞（MIDlet 是指在调制解调器中运行的基于 Java 的应用程序），黑客可以滥用这些安全漏洞，绕过数字签名检查，允许未经授权的”访问者“以更高权限执行代码。 卡巴斯基 ICS CERT 在 2023 年 11 月 8 日发布的一系列公告中正式披露了上述安全漏洞，安全研究人员谢尔盖·阿努弗里延科（Sergey Anufrienko）和亚历山大·科兹洛夫（Alexander Kozlov）因发现和报告这些安全漏洞，受到广泛赞誉。 卡巴斯基 ICS CERT 负责人 Evgeny Goncharov 表示，由于调制解调器通常以”俄罗斯套娃“的方式集成到其他解决方案中，一个供应商的产品堆叠在另一个供应商的产品之上，因此编制出受上述安全漏洞影响的最终产品清单非常具有挑战性。 最后，安全研究人员强调，为缓解潜在的安全风险，建议相关组织禁用非必要的 SMS 消息传递功能，使用专用接入点名称 （APN），控制对设备的物理访问，并定期进行安全审核和更新。   转自FreeBuf，原文链接：https://www.freebuf.com/news/400844.html 封面来源于网络，如有侵权请联系删除

近日，黑客利用域名系统（DNS）隧道技术跟踪受害者，追踪其何时打开网络钓鱼电子邮件和点击恶意链接，并扫描网络是否存在潜在漏洞。 DNS 隧道技术是对通过 DNS 查询发送和检索的数据或命令进行编码，实质上是将 DNS 这一基本网络通信组件变成一个隐蔽的通信渠道。 黑客以 Base16 或 Base64 或自定义文本编码算法等各种方式对数据进行编码，以便在查询 TXT、MX、CNAME 和地址记录等 DNS 记录时返回这些数据。 黑客通常使用 DNS 隧道绕过网络防火墙和过滤器，利用这种技术进行指挥和控制（C2）以及虚拟专用网络（VPN）操作。DNS 隧道技术也有合法的应用，如绕过审查。 Palo Alto Networks 的 Unit 42 安全研究团队最近在涉及受害者跟踪和网络扫描的恶意活动中发现了更多使用 DNS 隧道的情况。 TrkCdn 活动 第一个活动被追踪为 “TrkCdn”，重点是追踪受害者与钓鱼电子邮件内容的关联。 攻击者在电子邮件中嵌入内容，打开后会对攻击者控制的子域执行 DNS 查询，这些子域的 FQDN 包含编码内容。例如，4e09ef9806fb9af448a5efcd60395815.trk.simitor[.]com。 其中 4e09ef9806fb9af448a5efcd60395815 是 unit42@not-a-real-domain[.]com 的 md5 哈希值，它解析为主要权威名称服务器的 CNAME。 研究人员解释说：尽管不同目标的 FQDN 各不相同，但它们都被转发到 cdn.simitor[.]com 使用的相同 IP 地址。随后该权威名称服务器会返回一个 DNS 结果，该结果会指向一个由攻击者控制的服务器，该服务器会发送由攻击者控制的内容。这些内容可能包括广告、垃圾邮件或网络钓鱼内容。 通过这种方法，攻击者可以评估他们的策略，改进策略，并确认向受害者发送恶意有效载荷。 Unit 42 的报告还强调了一个类似的活动，该活动利用 DNS 隧道跟踪垃圾邮件的发送，被称为SpamTracker。 SecShow 活动 分析人员发现的第二个活动代号为 “SecShow”，利用 DNS 隧道扫描网络基础设施。攻击者会在 DNS 查询中嵌入 IP 地址和时间戳，以绘制网络布局图，发现潜在的配置漏洞，并利用这些漏洞进行渗透、数据窃取或拒绝服务。 该活动中使用的 DNS 查询会定期重复，以实现实时数据收集、检测状态变化，并测试不同网络部分对主动 DNS 请求的响应。 威胁行为者选择 DNS 隧道而不是跟踪像素和常规网络扫描工具等更传统的方法有几个原因，包括能够绕过安全工具、避免检测和保持操作的多功能性。 Unit 42 建议企业实施 DNS 监控和分析工具，以监控和分析日志中的异常流量模式和异常情况，如非典型或高流量请求。 此外，最好限制网络中的 DNS 解析器，只处理必要的查询，减少 DNS 隧道滥用的可能性。   转自FreeBuf，原文链接：https://www.freebuf.com/news/400844.html 封面来源于网络，如有侵权请联系删除

最新研究显示，东南亚的在线诈骗活动持续增长，有组织的诈骗集团每年在全球范围内赚取的收入估计达 640 亿美元。 根据USIP东南亚跨国有组织犯罪高级研究小组发布的一份报告（东南亚的跨国犯罪：对全球和平与安全的日益严重的威胁），在柬埔寨、老挝和缅甸，犯罪团伙每年通过诈骗窃取约 438 亿美元，约占这三个国家正式 GDP 总和的 40%。 这些诈骗通常俗称“杀猪盘”，通过消息平台或约会应用程序联系潜在受害者。诈骗者试图发展关系并最终说服受害者进行欺诈性投资，这些投资被犯罪分子抽走。 USIP 缅甸主任贾森·塔尔 (Jason Tower) 在一次讨论这项研究的活动中表示：“在很短的时间内，这已经从一个主要针对该地区犯罪的区域性问题转变为一个全球性问题。” “而且它正在蔓延到其他国家……同一个犯罪分子开始利用与中东、非洲的新联系。” 研究人员指出，近几个月来，“针对非中国人和不会说普通话的受害者的攻击大幅增加”——这或许是对中国执法部门对该行业日益严格审查的回应。 研究人员称，去年此类诈骗在美国造成约 35 亿美元的损失，加拿大人估计损失 4.13 亿美元，马来西亚人损失超过 7.5 亿美元。 在整个东南亚，有组织的犯罪团伙已将数十万人贩运到戒备森严的院落中，他们被关押在那里，并在暴力威胁下被迫进行诈骗。 研究人员写道：“由于它们很大程度上依赖强迫劳动，这些设施常常带有刑罚机构的特征，有高墙和铁栅栏窗户、闭路电视、武装警卫和酷刑室。” 虽然诈骗复合体所在国家的动态有所不同，但政治腐败是导致有组织犯罪恶化的普遍因素。在柬埔寨，执政党内的一位著名参议员李勇发 (Ly Yong Phat) 拥有一家与“工业规模欺诈”有关的赌场和酒店综合体。 与此同时，在缅甸，军政府允许与政府结盟的民兵沿其与中国和泰国的边境开展大规模犯罪活动。 “这些大院通常是与当地有权有势的精英合作建立的，有时是在治理薄弱或严重腐败国家的城市中心，有时是在官方特区或监管不善的边境地区，在这些地区，执法和税收受到限制，从而造成实际上有罪不罚的现象。”研究人员在报告中写道。 中国最近对自己的公民被贩运到缅甸并成为诈骗目标感到非常厌倦，因此逮捕了一些高级肇事者，并允许缅甸叛乱分子击溃政府支持的民兵组织。 尽管如此，研究人员发现，犯罪活动似乎只是为了应对压力而进行了调整，诈骗基地转移到了缅甸和该地区的其他地方。 尽管国际社会对该问题的认识不断提高，但随着诈骗活动的增加，USIP 研究小组建议采取协调措施来遏制诈骗活动，例如对犯罪集团领导人实施制裁和旅行禁令；追究相关国家纵容诈骗活动的责任；并考虑对 Telegram 等允许团体“协助洗钱”或宣传诈骗资源的社交媒体平台进行惩罚。 美国国务院国际麻醉品与执法局副助理国务卿布兰登·约德周一承认，“这些诈骗活动构成的日益严重的威胁及其对美国人民的影响是国家安全的优先事项。” “从泰国到菲律宾，从越南到印度尼西亚，我们正在为合作伙伴政府提供他们所需的培训和设备支持，以侦查、威慑和调查犯罪。”他说。“这包括支持我们的合作伙伴采用先进的调查技术，这些技术不仅仅是逮捕低级犯罪分子，还包括调查和揭露他们背后的复杂网络。”   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/bE9jCZ9aAk2LXKOlzDRx_Q 封面来源于网络，如有侵权请联系删除

近年来，合成身份欺诈者以汽车贷款行业为最大目标，导致 2023 年汽车贷款行业的欺诈尝试增加了 98%，损失高达 79 亿美元。Point Predictive 对 1.8 亿份贷款申请的研究发现，收入和就业信息不实、合成身份和信用洗白几乎占汽车贷款机构面临风险的 75%。 这些不实际的情况通常与第一方欺诈有关，涉及借款人实施欺诈，而非第三方骗子。报告称，虽然身份盗窃占 2023 年所有风险的 14%，但它只占汽车行业贷款人所面临的总体挑战的一小部分。 随着越来越多的贷款机构和经销商将申请流程转移到网上，他们面临的风险可能影响到了线上商家，包括虚假身份、欺诈服务和可以同时申请多项贷款的申请机器人。其他挑战还包括复杂的信用修复计划的扩散，如预制信用隐私号码（或 CPN）、信用洗白、虚构雇主和出售虚假交易线的行为。 合成身份证和信用洗白 研究显示，合成身份欺诈率稳步上升。到 2023 年第四季度，平均合成身份尝试率上升到 83 个基点，表明每 120 份汽车贷款申请中就有 1 份提交了虚构的信用档案。导致合成档案激增的多重因素包括：被盗身份的使用日益增多、合成身份欺诈从其他行业转移到更具吸引力的汽车金融领域，以及向消费者出售 CPN 的情况增多。 需要注意的是，越来越多的数据泄露事件针对保险、医疗和政府部门，但这些泄露的数据也会被用在其他行业。汽车欺诈的新趋势源于人们追求高额信用额度的诱惑，以及通过在线方式轻松获取汽车贷款而无需亲自去经销商那里。 同时，一些信用修复公司洗白信用的做法也很普遍。所谓 “信用洗白”，就是有计划地对信用报告中的所有负面记录提出异议，不是说这些记录有错误，而是宣称这些负面记录是身份盗窃造成的。信用修复公司会告诉消费者向联邦贸易委员会提交一份虚假文件，并利用这些文件来否认所有负面记录，声称自己是身份盗窃的受害者。 长期存在的虚假雇主问题 汽车贷款行业中的欺诈活动并非都涉及合成身份欺诈等复杂方案。通常情况下，借款人会夸大自己的收入或虚报自己的财务状况，以增加获得贷款的机会。有些欺诈者还会利用空壳公司制造虚假的就业证明。报告指出，在该行业中流通的虚假公司超过 1.1 万家。虽然看起来无害，但有 40% 的贷款是通过虚假雇主获得的，最终导致借款人无意还款而被追偿。 报告还强调，欺诈即服务平台让人们很容易地接触到虚假雇主，从而购买到虚假的就业证明。这些平台提供伪造的工资单、运营专门的网站并提供电话支持，以假乱真地确认就业情况。 暗网趋势 Telegram 帮助人们以低至 150 美元的价格轻松获得欺诈即服务功能。报告还指出了一种名为“预制 CPNs ”的新服务，对于在地下渠道中运作的骗子和合成身份盗窃者来说，这已经被证明是一个赚钱的大门路。只要支付一定的费用，个人就能获得诈骗团伙的服务，以虚假借口获得贷款。 在过去一年中，Telegram 上的广告数量大幅增加。预制 CPNs 是模板式的虚假信用档案，已经创建并存放了三年。预制 CPNs 与标准 CPNs 的区别在于，预制 CPNs 通常使用通用名称创建，并被允许存放，使它们成为绕过汽车贷款机构合成身份检测系统的理想选择。报告指出，标准 CPNs 的售价为 80 至 100 美元，而预制 CPNs 在 Telegram 频道上的售价为 750 美元或更高。   转自Freebuf，原文链接：https://www.freebuf.com/news/400750.html 封面来源于网络，如有侵权请联系删除 

据BleepingComputer消息，澳大利亚最主要的非银行类贷款机构Firstmac日前遭遇了一起由网络攻击导致的数据泄露事件，被称为Embargo的勒索软件团伙从该公司窃取了超过500G的数据。 Firstmac是澳大利亚金融服务行业的重要参与者，主要专注于抵押贷款、投资管理和证券化服务。该公司总部位于昆士兰州布里斯班，拥有 460 名员工，已发放10万笔住房贷款，目前管理着 150 亿澳元的抵押贷款。 5月11日，Have I Been Pwned 的创建者 Troy Hunt 在 X 上公开了由Firstmac发送给客户的通知信样本，告知他们发生了严重的数据泄露事件，并称在外部网络安全专家的协助下确定泄露的信息包括了客户姓名、住址、电子邮箱、电话号码、出生日期、外部银行账户信息和驾照信息。 尽管如此，Firstmac 向客户保证，他们的账户和资金是安全的，该公司的系统现在已经得到了适当的支持。 为此，Firstmac已将所有帐户更改都必须使用双因素身份验证或生物识别技术来确认用户的身份。IDCare也将为收到通知的客户提供免费的身份盗窃保护服务，并建议对未经请求的通信保持谨慎，并定期检查其帐户对帐单是否有异常活动。 据澳大利亚新闻媒体报道，这一数据泄露事件发生在2024年4月，Embargo勒索软件组织在其数据泄露网站上宣布了这一消息。 Embargo在数据泄露网站上公开的勒索信息 该组织被认为是一个新兴的网络犯罪团伙，其勒索页面上只列出了两名受害者，目前尚未找到该组织的加密器的样本，不清楚他们是自己主导了勒索攻击，还是从其他人手中购买了被盗数据进行勒索。   转自Freebuf，原文链接：https://www.freebuf.com/news/400745.html 封面来源于网络，如有侵权请联系删除 

近日，网络安全研究人员发现黑客组织 FIN7 滥用 Google Ads ，散播、部署恶意软件 NetSupport RAT。 根据网络安全公司 eSentire 发布的一份报告来看，黑客组织 FIN7 在 Google Ads 传播恶意软件活动中主要冒充了包括 AnyDesk、WinSCP、BlackRock、Asana、Concur、《华尔街日报》、Workable 和 Google Meet 等在内的众多知名众品牌。 FIN7 网络犯罪团伙（又名 Carbon Spider 、Sangria Tempest）自 2013 年“出道”以来一直非常活跃。最初，该组织主要针对销售终端（PoS）设备开展攻击活动，窃取支付数据。后来，逐渐转向通过部署勒索软件，袭击大型公司以获取赎金。 多年来，FIN7 网络犯罪团伙已经多次改进其战术和恶意软件库，采用了 BIRDWATCH、Carbanak、DICELOADER（又名 Lizar 和 Tirion）、POWERPLANT、POWERTRASH 和 TERMITE 等各种自定义恶意软件。 FIN7 网络犯罪团伙使用的技术手段 2023 年 12 月，微软宣布观察到了 FIN7 网络犯罪团伙依赖谷歌广告诱导用户下载恶意的 MSIX 应用程序包，一旦安装就会执行一个基于 PowerShell 的内存驱动程序 POWERTRASH，用于加载 NetSupport RAT和 Gracewire。 微软还表示，FIN7 黑客组织是一个以金钱为“动机”的网络犯罪团伙，目前专注于开展网络入侵活动，通过盗窃、加密受害者的数据信息，直接向受害者索要大量钱财，或者通过部署勒索软件，”慢慢”讹诈受害者。 据悉，目前已经有多个威胁攻击者滥用 MSIX 作为恶意软件的分发媒介 ，研究人员表示黑客组织都喜欢用的原因或许是其能够绕过 Microsoft Defender SmartScreen 等安全机制。 网络安全公司 eSentire 在 2024 年 4 月观察到的网络攻击活动中发现，用户通过谷歌广告访问假冒网站时，会显示一个弹出消息，敦促他们立刻下载一个假的浏览器扩展（其中包含一个 PowerShell 脚本的 MSIX 文件）该脚本会收集系统信息。此后，会联系远程服务器获取另一个编码的 PowerShell 脚本（第二个 PowerShell 有效载荷会下载和执行 NetSupport RAT）。 Malwarebytes 也观察到了类似的恶意活动 ，并将网络攻击活动“描述”成通过模仿 Asana、BlackRock、CNN、Google Meet、SAP 和《华尔街日报》等知名品牌的恶意广告和模态窗口，针对企业用户，发起大规模网络攻击。值得一提的是，Malwarebytes  并没有将这一攻击活动归咎在 FIN7 身上。 最糟糕的是，赛门铁克指出，恶意软件一旦安装，通常会在任务调度程序中注册命令以保持持久性，即使在删除后也能持续安装新的恶意软件。   转自Freebuf，原文链接：https://www.freebuf.com/news/400742.html 封面来源于网络，如有侵权请联系删除