HackerNews 编译，转载请注明出处： 检测泄露的凭证只是战斗的一半。真正的挑战——往往被忽视的另一半——在于检测后的处理。GitGuardian《2025年机密泛滥现状报告》的新研究揭示了一个令人不安的趋势：在公共代码库中发现的大多数暴露的企业机密，在被检测后仍保持有效数年之久，这导致攻击面持续扩大，而许多组织未能有效应对。 根据GitGuardian对GitHub公共代码库中暴露机密的分析，早在2022年检测到的凭证中，仍有惊人的比例至今有效： “检测到泄露的机密只是第一步，”GitGuardian研究团队表示，“真正的挑战在于快速修复。” 这种持续有效性暗示着两个令人担忧的可能性：要么组织未意识到其凭证已暴露（安全可见性问题），要么缺乏资源、流程或紧迫性来妥善修复（安全运维问题）。在这两种情况下，一个值得关注的观察结果是，这些机密甚至未被例行撤销——既没有通过默认过期自动失效，也未在定期轮换流程中手动处理。 组织要么对暴露的凭证毫不知情，要么缺乏资源有效应对。硬编码机密在代码库中泛滥，使得全面修复变得困难。凭证轮换需要跨服务和系统协调更新，通常会影响生产环境。 资源限制迫使组织仅优先处理最高风险的暴露，而遗留系统因不支持临时凭证等现代方法造成技术障碍。可见性有限、操作复杂性和技术限制的结合，解释了为何硬编码机密在暴露后仍长期有效。转向采用集中化自动化系统和短期凭证的现代机密安全方案，已成为运营必需，而不仅仅是安全最佳实践。 在原始数据背后隐藏着一个令人不安的现实：由于凭证在公共代码库中持续存在多年，关键生产系统仍然脆弱。 对2022-2024年暴露机密的分析表明，数据库凭证、云密钥和关键服务的API令牌在首次暴露后仍长期有效。这些并非测试或开发凭证，而是通往生产环境的真实密钥，为攻击者访问敏感客户数据、基础设施和关键业务系统提供了直接通道。 仍暴露的敏感服务（2022–2024） MongoDB：攻击者可利用这些凭证窃取或破坏数据。这些高度敏感的凭证可能让攻击者获取个人身份信息，或用于提权和横向移动的技术洞察。 谷歌云、AWS、腾讯云：这些云密钥可能让攻击者访问基础设施、代码和客户数据。 MySQL/PostgreSQL：这些数据库凭证每年也持续出现在公开代码中。 这些都不是测试凭证，而是真实服务的密钥。 过去三年间，公共代码库中暴露机密的格局变化既显示出进步，也揭示了新风险，尤其是云和数据库凭证方面。需再次强调，这些趋势仅反映已被发现且仍然有效的案例——意味着尽管已被公开暴露，它们仍未被修复或撤销。 对于云凭证，数据显示出明显的上升趋势。2023年，有效云凭证占所有仍活跃的暴露机密比例略低于10%。到2024年，该比例激增至近16%。这一增长可能反映了企业环境中云基础设施和SaaS采用率的提升，但也凸显出许多组织在安全管理云访问方面持续面临的挑战——尤其是随着开发速度和复杂性的增加。 相比之下，数据库凭证暴露呈相反走势。2023年，有效数据库凭证占检测到的未修复机密超13%，但到2024年该数字降至不足7%。这一下降可能表明，针对数据库凭证的认知和修复工作——特别是高调数据泄露事件后及托管数据库服务使用增加——正在产生效果。 总体结论是微妙的：尽管组织可能在保护传统数据库机密方面有所进步，但有效且未修复的云凭证暴露的快速上升表明，新型机密正在成为最普遍和高风险的存在。随着云原生架构成为常态，对自动化机密管理、短期凭证和快速修复的需求比以往任何时候都更加紧迫。 高风险凭证的实用修复策略 MongoDB凭证 为降低暴露的MongoDB凭证带来的风险，组织应迅速轮换任何可能泄露的凭证，并设置IP白名单严格限制数据库访问。启用审计日志对实时检测可疑活动和协助事件调查也至关重要。长期来看，应通过动态凭证摆脱硬编码密码。如果使用MongoDB Atlas，可通过API编程实现密码轮换，使CI/CD流水线能够定期轮换机密，即使未检测到暴露。 谷歌云密钥 如果发现谷歌云密钥暴露，最安全的措施是立即撤销。为防范未来风险，应从静态服务账户密钥转向现代短期认证方法：对外部工作负载使用“工作负载身份联盟”，将服务账户直接绑定至谷歌云资源，或在需要用户访问时实施服务账户模拟。强制执行定期密钥轮换，并对所有服务账户实施最小权限原则，以降低任何暴露的潜在影响。 AWS IAM凭证 对于AWS IAM凭证，若怀疑暴露必须立即轮换。最佳的长期防御是完全弃用长期用户访问密钥，选择通过IAM角色和AWS STS为工作负载提供临时凭证。对于AWS外部的系统，利用“IAM Roles Anywhere”。使用AWS IAM访问分析器定期审计访问策略，并启用AWS CloudTrail进行全面日志记录，以便快速发现和响应可疑的凭证使用行为。 通过采用这些现代机密管理实践——聚焦短期动态凭证和自动化——组织能显著降低暴露机密带来的风险，并使修复成为可管理的常规流程，而非紧急救火行动。机密管理器集成也能帮助自动完成此类任务。 暴露机密的持续有效性代表着重大且常被忽视的安全风险。尽管检测至关重要，但组织必须优先考虑快速修复，并转向能够最小化凭证暴露影响的架构。 正如数据所示，问题正在恶化而非改善——更多机密在暴露后长期保持有效。通过实施适当的机密管理实践并弃用长期凭证，组织能显著减少攻击面，缓解不可避免的暴露事件的影响。       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 谷歌上周四宣布，将在Chrome浏览器、搜索引擎和安卓系统中推出全新人工智能反欺诈功能。该公司表示，其设备端大型语言模型Gemini Nano将首次被整合至桌面版Chrome 137的安全浏览系统，通过实时分析网站内容识别诈骗风险，即使面对从未出现过的诈骗手段也能提供保护。 “设备端处理方式可即时识别危险网站，其独特优势在于能解析网站复杂多变的特征，帮助我们更快适应新型诈骗手法，”谷歌在声明中指出。目前该技术已用于打击远程技术支持诈骗，这类诈骗常以虚假的电脑故障为借口骗取用户财务信息。 谷歌Chrome安全团队工程师解释称，系统通过大语言模型扫描网页中可能存在的诈骗信号，例如滥用键盘锁定API等可疑行为。检测到风险信号后，安全浏览系统会综合判断页面是否为欺诈网站。为平衡性能与安全，谷歌采用异步处理机制限制GPU使用量，并设置令牌配额防止资源过度消耗。 除当前针对技术支持诈骗的防护外，谷歌计划将检测范围扩展至包裹追踪和未缴通行费类诈骗。安卓版Chrome预计将在今年晚些时候获得该功能。同时，升级后的AI反诈系统日均拦截的欺诈性搜索结果数量已提升20倍，2024年成功将仿冒航空公司客服的诈骗页面减少80%，虚假签证/政府服务网站减少70%。 针对安卓用户，Chrome将新增设备端机器学习通知预警功能。当检测到恶意网站推送的诱导性通知（如要求下载可疑软件或泄露敏感信息），浏览器会显示网站名称、欺诈风险提示，并提供退订选项。该功能与谷歌今年3月在短信应用中推出的AI诈骗检测形成互补，延续了其设备端优先的安全策略。 值得关注的是，谷歌正为安卓16系统开发“高级防护”功能，默认关闭JavaScript和2G连接，并启用防盗锁、离线设备锁等安全设置。此前有报道称，该公司还在测试通话中检测银行APP诱导开启的新型反诈技术，进一步构建多层级防护体系。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 5月7日（周三）起，美国正式实施“真实身份证”（REAL ID）新规，这项联邦标准化身份认证系统将生物识别数据与机场面部识别技术深度绑定。尽管官方宣称此举能提升安全等级，但网络安全专家警告其可能成为全球黑客的“巨型靶心”和“监控超级武器”。 Polyguard网络安全公司联合创始人兼CEO约书亚·麦肯蒂（Joshua McKenty）指出，REAL ID通过整合全美50个州机动车管理局数据库，建立了“国家超级数据库”，将持卡人的“生物特征信息与面部数据关联”。这位前NASA首席云架构师强调，即使旅客在机场安检时选择退出面部识别，其生物信息早在申请证件时已被采集，且数据删除政策存在模糊性。随着深度伪造技术泛滥，这类集中化存储的生物特征数据库可能被用于身份欺诈和仿冒攻击。 iProov生物识别安全公司创始人安德鲁·巴德（Andrew Bud）则认为，REAL ID为构建“信任经济”奠定基础，有利于提升政府、金融和医疗机构的身份核验效率，并为移动数字驾照等未来技术铺路。但麦肯蒂揭示出三重悖论：系统在提供便利的同时，也加剧了“监控与隐私”、“集中控制与个人数据主权”之间的矛盾。他呼吁建立“可撤回授权、透明化操作、真正可移植”的验证体系，使个人能自主管理生物数据。 尽管国土安全部长克里斯蒂·诺姆（Kristi Noem）表示未持REAL ID者仍可用护照登机，但需接受额外安检。关键注意事项包括： 国际航班仍需护照，REAL ID仅限美国境内使用 18岁以下未成年人免持REAL ID 各州车管局发放的临时纸质凭证无效，必须使用实体证件 姓名变更者需携带法院文件或结婚证等补充材料 目前全美81%居民已完成证件升级，但仍有数百万人在各地车管局排长队办理。网络安全公司Guardio监测发现，诈骗分子正通过伪造车管局网站、钓鱼邮件等手段窃取申请者个人信息，提醒公众务必通过官方渠道办理。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员披露了SysAid IT支持软件本地版本中的多个安全漏洞，这些漏洞可能被利用来实现预认证的远程代码执行，并提升权限。 这些漏洞被追踪为CVE-2025-2775、CVE-2025-2776和CVE-2025-2777，均被描述为XML外部实体（XXE）注入漏洞，这种情况发生在攻击者能够成功干扰应用程序解析XML输入时。 反过来，这可能会允许攻击者将不安全的XML实体注入到Web应用程序中，使他们能够执行服务器端请求伪造（SSRF）攻击，最坏的情况下，实现远程代码执行。 根据watchTowr Labs研究人员Sina Kheirkhah和Jake Knott的说法，这3个漏洞的描述如下： CVE-2025-2775和CVE-2025-2776：在/mdm/checkin端点中的预认证XXE CVE-2025-2777：在/lshw端点中的预认证XXE watchTowr Labs表示，通过向相关端点发送精心制作的HTTP POST请求，可以轻而易举地利用这些漏洞。 成功利用这些漏洞可以使攻击者检索包含敏感信息的本地文件，包括SysAid自己的“InitAccount.cmd”文件，其中包含安装期间创建的管理员账户用户名和明文密码信息。 凭借这些信息，攻击者可以作为具有管理员权限的用户，获得对SysAid的完全管理访问权限。 更糟糕的是，XXE漏洞可以与另一个操作系统命令注入漏洞（由第三方发现）串联，以实现远程代码执行。该命令注入问题已被分配为CVE-2025-2778。 SysAid已于2025年3月初通过发布本地版本24.4.60 b16修复了这4个漏洞。一个结合这4个漏洞的概念验证（PoC）利用程序已经公开。 鉴于SysAid的安全漏洞（如CVE-2023-47246）此前曾被Cl0p等勒索软件行为者在零日攻击中利用，用户必须更新其实例至最新版本。     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Mandiant的《M-Trends 2025》报告最核心的启示在于，攻击者正在快速调整其攻击手段以应对防御能力的提升，这种对抗永无止境。 作为行业威胁情报的重要来源，Mandiant年度M-Trends报告整合了该公司自身事件调查数据与谷歌威胁情报组（GTIG）的研究成果。但要充分理解报告价值，必须首先了解其调查方法。 首先，尽管Mandiant是事件调查领域的重要参与者，但其数据采集规模相较于其他主要安全厂商（如EDR供应商）存在局限性。这并不影响Mandiant数据的价值，但意味着这些数据不能简单等同于全球统计数据。典型例证可见“受攻击行业”部分——金融业以17.4%占比居首，医疗行业仅以9.3%位列第五。 这种分布不应被视作全球行业攻击目标的真实反映。数据存在未量化的客户偏差（金融业相比医疗行业更有能力负担Mandiant的服务）。这种偏差的未知程度因该公司决定隐藏统计所依据的具体事件数量（或客户数量）而加剧，报告中仅提及“全球范围内超过45万小时的事件响应服务时长”。 这个总时长虽然令人印象深刻，但无法反映包含的事件或调查数量（如果调查周期长，可能对应少量事件；若调查快速完成，则可能对应大量事件）。 Mandiant咨询公司欧洲、中东和非洲区董事总经理Stuart McKenzie解释其统计逻辑：事件性质可能导致混淆。“我们可能在调查某事件时发现第二个威胁方——这应视为独立事件还是原事件的延续？有时一次调查可能发现三到四个不同事件。因此，我们以服务时长作为衡量标准，这能更清晰体现工作量。” 只要读者明确这些是Mandiant客户统计数据而非全球攻击数据，就不会削弱其价值。同时，报告整体价值因Mandiant与谷歌威胁情报组的联合研究而得到提升。 M-Trends报告重点内容 初始感染媒介 漏洞利用（33%）连续第五年成为最常见初始攻击途径（虽低于去年的38%）。值得注意的是，凭证窃取（16%）今年超过钓鱼邮件（14%）升至第二位，背后原因复杂。 McKenzie分析：“用户对钓鱼攻击的警惕性提高，操作系统防护增强，安全控制措施更有效。”但攻击者并未停滞。“随着防御者修补漏洞的能力提升，漏洞利用效率降低。随着反钓鱼技术发展，钓鱼攻击吸引力下降。”攻击者转向替代方法，目前表现为大量使用窃取凭证。 这种现象部分归因于信息窃取程序的广泛高效使用。报告警告：“典型信息窃取程序包括Vidar、Raccoon和RedLine Stealer。”暗网上包含窃取凭证的日志数量持续增加；相比通过钓鱼邮件投递恶意软件，发现并使用这些凭证作为初始感染手段更为容易。 McKenzie补充解释：“钓鱼攻击减少可能源于安全工具的改进，例如Mark of the Web（MotW）阻碍了恶意软件部署。”MotW是Windows系统的特性，可检测并标记来自不可信源的文件，阻止或警示其运行。 有趣的是，他认为AI辅助钓鱼不会改变这种趋势。“虽然AI能生成更复杂的钓鱼诱饵，但钓鱼攻击的主要用途仍将是为更大规模攻击获取凭证，而非直接分发恶意软件。因此，钓鱼正从恶意软件传播手段演变为复杂攻击链中的一环，辅助其他攻击方法。” 这并不意味着钓鱼威胁降低，而是其角色从初始感染媒介转变为其他攻击途径的助推器。防御者需更关注密码卫生管理、定期更换，以及更有效地使用多因素认证（MFA）来应对凭证攻击。 朝鲜IT工作者 值得注意的新动向是Mandiant将朝鲜IT工作者归类为独立威胁集群UNC5267。这种划分的合理性可能不会立即显现，但存在两方面依据：第一，他们使用“协助者”表明存在某种外部组织；第二，更重要的是，鉴于朝鲜对互联网的严格管控，这些人员若未获政府默许则无法获得境外就业机会。 若Mandiant的逻辑成立，则意味着受国家支持的朝鲜IT工作者未来可能被归入一个或多个APT组织。但目前，McKenzie评论道：“远程工作者趋势让我联想到勒索软件早期阶段。像SamSam这样的组织曾在美国非常活跃，当时欧洲、中东和非洲地区认为‘我们没这种问题’。” 但随着时间推移（或许迫于美国执法机构压力），这些组织开始寻找新目标。勒索软件从美国蔓延至全球。 “朝鲜远程工作者在美国的高度活跃应该对其他国家机构具有警示意义。我们已观察到其向欧洲和其他地区的扩张。”早期动机被认为是赚取外汇资助朝鲜武器计划，虽然这仍是事实，但威胁不会止步于此。一旦这些“外国代理人”渗入西方产业，他们还能窃取知识产权和部署恶意软件。 Mandiant特别向欧洲传递的信息是：切勿将UNC5267视为轻微威胁。即使该集群尚未升级为APT，也需加强朝鲜工作者的检测能力。执法机构无法通过逮捕个别人员来瓦解该组织，也不存在可摧毁的基础设施——这种APT将具备不同形式的持久性。       消息来源： securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 当世界仍在为教皇方济各的逝世哀悼时，网络犯罪分子已通过伪造哀悼信息、诈骗链接和数据窃取手段将全球悲痛转化为牟利工具。 在教皇逝世消息公布后的数小时内，诈骗者便如机械般精准地利用公众震惊情绪展开行动。这种模式并不新鲜——从英国女王伊丽莎白二世去世、土耳其-叙利亚地震到COVID-19大流行，每当全球陷入悲痛，黑客就会抛出数字诱饵。 情绪化时刻创造了完美攻击窗口：人们紧盯屏幕寻求信息，戒心远低于平常。此时正是陷阱布设之时。AI生成的虚假图片（2025年2月首次传播）重新出现在各大网站和社交媒体，链接指向伪装成新闻站的恶意页面。 TikTok、Instagram和Facebook等平台充斥着AI生成的图片，部分声称展示教皇未公开影像或悼念内容，其逼真程度足以欺骗普通用户。人们点击、搜索——这正是攻击者所求。 网络安全公司Check Point研究人员指出，每逢重大事件，钓鱼攻击和恶意软件活动就会激增。近期某诈骗案例将用户从伪造的“教皇逝世突发新闻”站重定向至虚假Google页面，以赠送礼品卡为名索要信用卡信息。 另一危险手法是SEO投毒：攻击者购买谷歌搜索结果前排位置，将含恶意脚本的网站混入正规新闻链接。当用户搜索“教皇逝世最新动态”并点击看似正常的链接时，就会进入恶意网站。研究人员称，页面加载瞬间即触发后台脚本，无需额外点击即可窃取设备名称、操作系统、地理位置和语言设置。 这种方式使诈骗者能构建受害者画像，用于后续精准钓鱼攻击窃取凭证，或将数据转售暗网。约83%的诈骗域名未出现在安全雷达中，它们多为新注册或长期休眠域名，传统可疑网站检测工具难以识别。 “网络罪犯在混乱与好奇中获利。重大新闻事件总会引发利用公众关注度的诈骗激增，”研究人员写道，“最佳防御是用户意识与分层安全防护的结合。”     消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国联邦调查局（FBI）互联网犯罪投诉中心（IC3）2024年接报的网络犯罪损失金额达到破纪录的166亿美元，较2023年增长33%。根据《2024年IC3互联网犯罪报告》，这一“惊人”数字中绝大部分损失源于网络诈骗——即利用互联网实施资金盗窃、数据窃取、身份冒用或伪造商品服务的犯罪行为。网络诈骗占IC3投诉总量的38%，但占损失总额的83%（137亿美元）。 投资诈骗连续第三年成为FBI记录中损失最高的网络犯罪类型，达65亿美元，较2023年的45亿美元显著增长。其次是商务邮件入侵（BEC）造成的27亿美元损失，较2023年的29亿美元略有下降。2024年其他高损失网络犯罪类型包括技术支持诈骗（14亿美元）和个人数据泄露（14亿美元）。 FBI声明指出：“这些激增的损失更令人忧虑，因为本局去年已采取重大措施提高恶意攻击者的作案成本与难度。”2024年FBI接报的勒索软件攻击事件达3156起，高于2023年的2825起。FBI还发现勒索软件是2024年对关键基础设施最普遍的威胁，投诉量较上年增长9%。尽管如此，勒索软件造成的报告损失从2023年的596亿美元大幅降至124亿美元。 这些数据与其他近期勒索软件研究结果一致。区块链分析公司Chainalysis 2025年2月报告显示，2024年勒索支付金额同比下降35%。安全公司Blackfog四月数据显示，尽管2025年第一季度公开披露的勒索攻击创历史新高，但受害者支付赎金的意愿显著降低。可能的原因包括网络恢复能力提升使组织在考虑支付赎金前拥有更多恢复选项，以及去年执法部门打击LockBit等知名团伙导致勒索软件生态碎片化——小型团伙与独立攻击者转向攻击中小型目标。 联邦调查局表示，2024年共识别出67种新型勒索软件变种，其中报告最多的是Fog、Lynx、Cicada 3301、Dragonforce和Frag。     消息来源：infosecurity-magazine；  本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 英国零售商玛莎百货(M&S)周二宣布“过去数日持续处理网络事件”，此前社交媒体涌现大量顾客投诉。 事件的具体情况尚未披露。作为富时100指数成分股的玛莎百货，在全球拥有超过7万名员工，在英国拥有超过1000家门店。 该公司周二下午向伦敦证券交易所提交的声明称，在意识到事件后立即“对门店运营做出细微临时调整”。 顾客在社交媒体抱怨多种电子支付系统失效，包括银行卡支付、礼品卡及该零售商的“点击取货”服务。 玛莎百货在一份发给顾客的声明中确认，“您的‘点击提货’订单可能会出现一些有限的延迟，我们正在努力解决这个问题。”该公司向伦敦证券交易所表示，已聘请外部网络安全专家调查并处理该事件，并已向相关监管机构和国家网络安全中心报告。 “我们正在采取措施进一步保护我们的网络，并确保我们能够继续提供优质的客户服务，”该公司在声明中继续说道。 “对于由此造成的不便，我们深感抱歉。重要的是，我们的门店仍在营业，我们的网站和应用程序也正常运行。”     消息来源：therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 扒窃技术正在升级。一种新型Android恶意软件利用NFC技术，在您与诈骗者通话时盗取您的银行卡。 试想您收到一条看似来自银行的短信，警告存在“可疑交易”并催促您联系客服。出于谨慎，您拨打电话，一个平静且令人安心的声音回应道：“别担心，我们会指导您处理。” 但几分钟后，您已经在不知情中安装了恶意软件、泄露了PIN码、解除了借记卡的消费限额，并应诈骗者要求完全授权其清空您的卡片。 这听起来像噩梦？欢迎了解新型恶意软件变种SuperCard X。正如安全公司Cleafy研究人员所描述的，它界面简洁、近乎隐形且破坏力极强。 这款源自Android的恶意程序通过恶意软件即服务（MaaS）分发，由中文语系攻击者开发，利用NFC中继攻击实时窃取、盗刷您的银行卡。 SuperCard X的精妙之处在于其多阶段欺诈： 首先是通过虚假短信或WhatsApp消息进行钓鱼（smishing），声称您的账户已被入侵。 接着是电话导向攻击传递（TOAD），诈骗者致电建立信任。一旦您上钩，他们会引导您泄露PIN码、关闭卡片限额，并以安全软件为幌子让您安装恶意应用。 然后是致命一击：说服您“轻触手机验证卡片”。但该应用会通过NFC静默窃取卡片信息并发送至攻击者控制的克隆设备，随后他们可通过ATM非接触取现套现资金。 该活动已追踪到意大利受害者。类似NFC中继欺诈已在美国出现。ESET研究人员此前曾发现针对三家捷克银行客户的Android NFC恶意软件。 没有任何合法企业会要求您移除安全设置。 SuperCard X的高效性不仅在于恶意软件，更在于人为因素。据网络安全公司Cequence首席信息安全官Randolph Barr称，此类攻击仍具有地域针对性，早期迹象显示其聚焦特定区域。 “如果威胁扩大，很可能是因为用户沦为社交工程学受害者并被说服关闭内置安全防护——这是明确危险信号。”他解释道。 Barr同时指出区域风险：“亚洲地区Android用户集中度极高，这可能提升该地区风险。”换言之，骗局扩散范围越广，Android主导地区（尤其是侧载应用普遍的地区）受冲击可能性越大。 尽管Android的灵活性是其魅力所在，却也成为SuperCard X等骗局的入口。正如Barr所述：“相较而言，iOS设备实施更严格限制（尤其是NFC访问）。尽管有人认为这是局限，但从安全角度看，这是有价值的管控。” 虽然恶意软件技术复杂，但危险信号仍属传统套路。Barr强调：“Android用户应更熟悉社交工程学危险信号——有时只需在操作前验证请求合法性。” 如果有陌生人让您“安装这款安全应用”并“关闭卡片限额”，请记住：真正的安全永远不会要求您先解除自身防护。 “任何合法企业都不应要求您降低或移除设备安全设置。”Barr总结道。       消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软宣称已完成“网络安全史上最大规模工程改造”，将所有微软账户（Microsoft Account）与Entra ID令牌签名密钥迁移至具备自动轮换机制的硬件安全模块或Azure机密虚拟机，旨在阻断曾导致国家级攻击者入侵微软系统的密钥窃取战术。 在推出“安全未来计划”（Secure Future Initiative）应对黑客攻击及美国政府严厉报告的18个月后，微软安全主管Charlie Bell宣布该计划28项目标中已有5项“接近完成”，另有11项取得“重大进展”。 Bell表示，除了将所有微软账户和Entra ID令牌签名密钥迁移至硬件安全模块或Azure机密虚拟机的核心修复措施外，超过90%的微软内部生产力账户已迁移至防钓鱼多因素认证，并且90%的第一方身份令牌通过新加固的软件开发工具包（SDK）进行验证。 Bell指出：“我们根据红队研究成果部署了深度防御保护措施，已将MSA签名服务迁移至Azure机密虚拟机，Entra ID签名服务迁移工作正在进行。”这些改进有助于缓解中国APT组织攻击微软时可能使用的攻击路径。 微软公开将此次入侵归因于从被黑工程师企业账户窃取的崩溃转储文件。该2021年4月的转储文件包含MSA消费者密钥，攻击者借此伪造令牌入侵OWA与Outlook.com账户。 在架构层面，Bell报告称已清除630万个休眠的Azure租户以保护云租户并隔离生产系统。微软还报告已将88%的活跃资源迁移至Azure资源管理器以实现更严格的策略执行，并对440万个托管身份进行分段，使其只能从经过批准的网络位置进行身份验证。 “安全未来计划”于2023年11月推出，承诺加速云补丁发布、优化身份密钥管理、提升默认软件安全基线。尽管取得进展，微软仍面临对其云产品第三方漏洞研究处理方式的批评，并持续受困于缺陷补丁与Windows零日攻击激增问题。     消息来源：securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文