安全研究专家表示，一个知名俄罗斯勒索软件集团成立了假公司，以招募技术工人来扩大其犯罪企业。根据安全公司 Recorded Future 旗下 Gemini 咨询部门的一份新报告，这家假公司是由 Fin7 成立的。外界认为集团创建的恶意软件，在今年 5 月份让美国最大的燃料管道之一陷入瘫痪。 《华尔街日报》早些时候报道了这一诡计，包括一个看起来很专业的网站，声称该公司提供网络安全服务。Fin7 与针对全球数百家公司的黑客攻击有关，目标是主要零售商使用的销售点系统。据信，攻击 Colonial Pipeline 的软件就是由该集团开发的，导致该燃料管道公司被迫关闭运营，中断了对东南部部分地区的汽油输送。 研究人员说，该组织创建了一个名为 Bastion Secure 的假公司，以及一个配套的网站，公布了程序员、系统管理员和反向工程师的公开职位，以组建一个能够执行任务的团队，支持网络犯罪活动。Fin7 有伪装成真实公司的历史，导致研究人员相信该组织“正在利用虚构的 Bastion Secure 公司招募不知情的 IT 专家参与勒索软件攻击”。 报告指出，该组织的招聘工作是由“对相对廉价的熟练劳动力的渴望”所驱动，提供的起薪在每月 800 美元至 1200 美元之间。虽然这在一些东欧国家是一个合理的 IT 工作起薪，但这只是该组织从网络犯罪中获得的利润的“一小部分”。 在调查 Bastion Secure 的过程中，一位 Gemini 部门的消息人士在这家假公司申请了一份工作。虽然前两个阶段包括 IT 专家在面试过程中通常会有的任务，但在第三个阶段，研究人员写道：“立即就能看出该公司参与了犯罪活动”。 他们写道：“Bastion Secure 的代表对文件系统和备份特别感兴趣，这表明 Fin7 对进行勒索软件攻击比 POS 感染更感兴趣”。 研究人员写道：“有了心甘情愿的同伙，Fin7将被迫分享总额达数百万美元的赎金，而不知情的雇员将为月薪低至数千美元而工作，这与后苏联国家的劳动力市场是相称的”。 据司法部称，Fin7 至少从 2014 年开始活跃，被认为是最大的网络犯罪行动之一，攻击了超过100多家美国公司，重点是酒店、博彩机构和餐馆，包括对Chipotle、Chili’s和Arby’s的攻击。   （消息及封面来源：cnBeta）

自 21 世纪以来，微软多次在公开场合强调公司在安全方面的努力，但遗憾的是似乎仍然无法跟上当今存在的大量威胁。前微软高级威胁情报分析师凯文·鲍蒙（Kevin Beaumont）上周在个人 Twitter 上发布推文，发泄他对 OneDrive 托管恶意软件的不满。 Baumont 在推文中写道： 如果微软不能防止自己的 Office 365 平台被直接滥用于 Conti 勒索软件，那么就不应该公开宣传自己拥有 8000 名安全员工、以及是数万亿信号的安全领导者。OneDrive 的滥用现象已经持续了多年时间，请尽快修复它。 Baumont 还分享了 OneDrive 团队的报告和行动时间的收据，当联系到一个潜在的威胁时，微软的回应达到接近一个月。他在推文中写道： 比糖衣炮弹般的响应时间更令人不满的是，微软设法从其延迟的反应中获利。 有趣的是，微软消费了你的API，并在他们的安全产品中使用它来阻止你名单上的东西（我是做这个的团队成员），但没有人愿意清理网络。所以被坑了吧，非E5。 作为一名前高级威胁情报分析师，博蒙特也对竞争对手的做法提出了一些见解，其他公司也存在这样的问题。根据第三方分析公司 Abuse.ch 的数据，虽然微软在托管恶意软件的平台中排名前三，但 Google 和 Discord 位居榜首，Slack 和 Pastebin 也位居前五。恶意软件的问题并不仅限于微软，但 Baumont 的批评使该公司不断挣扎的问题变得更加突显。 微软承认 Baumont 的观点，并同意它将需要调查进一步的改进，以更好地应对和防止其产品中的恶意软件。微软表示： 滥用云存储是一个全行业的问题，我们一直在努力减少使用微软的服务来造成伤害。我们正在调查进一步的改进，以防止和快速应对本报告中列出的滥用类型。我们继续鼓励客户在网上养成良好的计算习惯，包括在点击网页链接、打开未知文件或接受文件传输时谨慎行事，我们也鼓励客户使用此表格报告滥用行为。 然而，作为一个全行业的云存储问题，该公司还需要与其他公司合作，提出更多永久性的解决方案。   （消息及封面来源：cnBeta）

据外媒报道，暗网仍然活着，而且变得比以前更危险。新研究强调了被盗数据的价值和一般网络犯罪行为在过去六年中是如何演变的。近日，云安全公司Bitglass通过发明了一个出售登录和密码数据的虚构身份重现了2015年的一个数据追踪实验。 然后，研究人员在几个暗网市场上发布了这些信息并通过提供对假文件的访问来吸引用户，据悉，这些文件可以访问零售、政府、游戏和媒体领域的组织。 插入文件的水印技术使Bitglass能从访问它的用户那里追踪数据从而收集暗网的当前趋势。研究结果非常有意思。总体而言，跟六年前相比，今天被盗数据在暗网上的传播速度快了11倍。 2021年，漏洞数据的浏览量超过13200次，比2015年的1100次大幅增加。这一激增代表的是1100%的增长，这清楚地表明了地下平台如何成为网络犯罪分子的一个更受欢迎的目的地。 2015年达到1100次链接浏览所需的时间是12天。而在2021年，目标在访问假数据方面明显更快，因为它们只用了不到24小时的时间。 被盗数据的下载地点显示，美国是网络犯罪分子的第二大发源地。前三名另外两个是肯尼亚和罗马尼亚。 研究还发现，目标对零售和美国政府网络数据表现出浓厚的兴趣。这两个类别收到的点击率最高，分别为37%和32%。这并不令人惊讶，因为潜在的赎金可以为这些领域带来巨大的利润。 零售网络自然是攻击者的重中之重，因为他们可以分发赎金软件并从大型企业中提取报酬。同样，美国政府的数据也同样具有价值，因为黑客–国家支持的或个人–可以将这些信息出售给其他国家。 此外，暗网中的活动也变得更加繁忙。根据该研究，2021年暗网的匿名浏览者总数达到93%，跟2015年的67%相比，有明显的上升。 Bitglass强调，网络犯罪分子在很大程度上逃避了起诉网络犯罪的法律，因为他们在掩盖自己的踪迹方面变得更加有效。 来自企业和组织的网络安全努力还不能充分地防止攻击。此外，由于执法部门越来越重视追踪恶意行为者，该公司预计他们会继续利用匿名VPN和代理来躲避当局。 “在比较这次最新的实验结果和2015年的实验结果时，很明显，暗网的数据传播得更远、更快，”Bitglass威胁研究小组的负责人Mike Schuricht说道，“我们预计，数据泄露的数量不断增加以及网络犯罪分子有更多的渠道使流出的数据赚钱，这些会导致人们对暗网被盗数据的兴趣和活动增加。” 根据微软公布的数据，暗网用户可以以低于500美元的价格获得大多数网络犯罪服务。Atlas VPN发现，地下市场提供的单个勒索软件套件的价格低至66美元，而黑客对目标进行长达1个月的持续DDoS攻击，只收取约311美元。 如今，数据泄露已经司空见惯，因此，被盗的用户名和密码以每1000个账户97美分的价格出售也就不足为奇了。此外，黑客还会提供定制工作，如信用卡诈骗或身份盗窃，而价格低至250美元。   （消息及封面来源：cnBeta）

一项针对250多名勒索软件受害者的新调查显示，超过一半的人在过去一年中被勒索软件攻击过，69%的人说他们很可能在未来一年中至少被成功攻击一次。那些被勒索软件成功击中的人更倾向于支付费用，65%的人确实这样做了，然而，完全恢复数据的情况只占55%。当被问及支付意愿时，13%的人说他们肯定会，但只有20%的人说他们肯定不会。 这项研究是由CISOs Connect、AimPoint Group和W2 Communications进行的。 虽然支付赎金息事宁人的行为仍然是有争议的，并且是许多辩论的主题，但抛开道德和法律的争议而言，同样需要关注恢复业务运营的财务影响。这是可以理解的，因为一次攻击的总成本，包括缓解危害、恢复业务和可能的指出，数额大的可能达到数百万美元。据受访者称，勒索软件受害者有20%的机会支付超过500万美元，有5%的机会影响可能超过5000万美元。 调查中只有55个组织采取了购买勒索软件保险的措施，而且其中大多数是在较大的组织，这意味着小企业更容易受到勒索软件影响。 “我们的数据显示，虽然勒索软件的肆虐正在推动一些有关预防与应对的倡议和规划，但许多努力可能仍然是孤立的，”CISOs Connect的首席执行官兼创始人Aimee Rhodes说。”这就造成了某些领域的暴露，随着这些攻击的继续加速，可能会造成问题。根据CISO的反馈，许多人将受益于一种更全面的方法，使他们不仅为预防和检测勒索软件做好准备，而且还为可能的财务影响做好准备。” 你可以在下面的信息图中看到更多的发现。   （消息及封面来源：cnBeta）

根据Bitglass的最新研究，今天暗网被盗数据的传播速度是六年前的11倍。2021年，漏洞数据的浏览量超过13200次，而2015年的浏览量为1100次，增长了1100%。在2015年，达到1100个链接浏览量需要12天 — 在2021年，通过这个里程碑需要不到24小时。 Bitglass威胁研究小组的领导人Mike Schuricht说：”我们预计，数据泄露的数量不断增加，以及网络犯罪分子有更多的渠道将渗出的数据货币化，导致人们对暗网被盗数据的兴趣和活动增加。” 在其他发现中，2021年暗网上的匿名用户数量（93%）超过了2015年（67%）。今年的实验还表明，匿名观众对零售和政府数据特别感兴趣，分别占36%和31%。在Bitglass研究人员在暗网上故意播种的所有实验用数据类型中，访问零售商和美国政府网络的数据获得的点击率最高，分别为37%和32%。 “在将这次最新的实验结果与2015年的实验结果相比较，很明显，暗网的数据传播得更远、更快，”Schuricht补充说。”不仅如此，网络犯罪分子越来越善于掩盖他们的踪迹，并采取措施来逃避起诉网络犯罪的执法工作。不幸的是，企业保护数据的网络安全工作没有跟上步伐，关于最新数据泄露事件的头条新闻不断涌现就是证明。正如我们六年前建议各组织，他们必须使用最佳做法和新技术来保护他们的数据。”   （消息及封面来源：cnBeta）

随着勒索软件和世界各地其他网络攻击的增加，系统运营商更加担心复杂的 “虚假数据注入 “攻击，即黑客向其提供虚假的数据，欺骗电脑系统和人员，使其认为操作正常。然后，攻击者扰乱了工厂关键机器的功能，导致其运行不良或故障。当安全人员意识到他们被欺骗时，为时已晚，造成了灾难性的后果。 普渡大学的Hany Abdel-Khalik想出了一个强有力的对策：使运行这些网络物理系统的计算机模型具有自我意识和自我修复能力。利用这些系统数据流中的背景噪音，Abdel-Khalik和他的学生嵌入了无形的、不断变化的、一次性使用的信号，将被动的组件变成主动的观察者。即使攻击者拥有一个完美的系统模型副本，任何试图引入伪造数据的行为都会被系统本身立即发现并拒绝，不需要人类的回应。 今天，能源、水和制造业的关键基础设施系统都使用先进的计算技术，包括机器学习、预测分析和人工智能。员工们使用这些模型来监测其机器的读数，并验证它们是否在正常范围内，即所谓的”数字双胞胎”。数据监测模型的重复模拟，帮助系统操作员确定何时出现真正的错误。但是，用于控制核反应堆和其他关键基础设施的模拟器很容易地获得。还有一个常年存在的风险是，系统内部的某个人，如果能够接触到控制模型及其数字孪生体，就可以尝试进行偷袭。 为了挫败这种策略，Abdel-Khalik和核工程专业三年级的研究生Arvind Sundaram找到了一种方法，将信号隐藏在系统不可观察的”噪声空间”中。控制模型要处理成千上万个不同的数据变量，但其中只有一小部分实际用于影响模型输出和预测的核心计算。通过稍微改变这些非必要的变量，他们的算法产生了一个信号，这样系统的各个组成部分就可以验证进来数据的真实性并作出相应的反应。   （消息及封面来源：cnBeta）

Google表示，它将向1万名”高风险”用户提供免费的硬件安全密钥，几天前该公司曾警告数千名Gmail用户，他们是一些受支持的黑客的目标。由Google威胁分析小组（TAG）发出的警告提醒超过14000名Gmail用户，他们已成为APT28（也称为Fancy Bear）国家支持的钓鱼活动的目标，据说该活动由俄罗斯GRU情报机构的特工组成。 Fancy Bear已经活跃了十多年，但它因入侵民主党全国委员会及其在2016年美国总统选举前的虚假信息和影响选举活动而广为人知。 “这些警告表明是针对而不是妥协。如果我们对你发出警告，那么我们阻止他们的可能性非常大，”Google的TAG主管Shane Huntley周四在Twitter上写道。”这个月增加的数字来自于少数目标的活动，这些活动被阻止了。” Huntley补充说，这些警告对活动家、记者和政府官员等个人来说是正常的，因为这就是政府支持的实体的目标。”如果你是活动家/记者/政府官员或在国家安全机构工作，这个警告说实话不应该是一个惊喜。在某些时候，一些受到支持的实体可能会试图向你发送一些东西。”他说。 Google在一篇博文中说，它将在2021年全年发送安全密钥，以鼓励用户加入其高级保护计划（APP），该计划保护那些具有高知名度和敏感信息的用户，他们有可能受到有针对性的在线攻击。安全密钥使网络钓鱼攻击更难奏效，因为安全密钥只能用于解锁合法网站的账户。 此外，Google还宣布与国际选举制度基金会（IFES）、联合国妇女署和非营利组织”捍卫数字运动”（DDC）建立新的和扩大的伙伴关系，以加强其最危险用户的安全。 通过与后者的合作，Google表示，它已经在2020年美国大选季节向180多个符合条件的联邦竞选活动提供了Titan安全密钥，并补充说，它现在正与该组织合作，为州级竞选活动和政党、委员会及相关组织提供进一步的保护，包括关于如何防止网络攻击的研讨会和培训。   （消息及封面来源：cnBeta）

美国司法部表示，如果联邦承包商未能如实上报网络攻击或数据泄露事件，则它们将面临法律诉讼。本周，副总检察长 Lisa O. Monaco 提出了一项民事网络欺诈倡议，以期参照现有的虚假申报法案（FCA）来追究与政府承包商和资助接受者们相关的网络安全欺诈行为。 新闻稿指出，该倡议将让个人或联邦承包商等实体，在故意提供有缺陷的网络安全产品或服务、导致美国网络技术设施面临风险时承担责任。与此同时，政府承包商将因违反监测上报网络安全事件和数据泄露行为而面临处罚。 据悉，这是美国政府在一系列针对联邦机构（包括财政部、国务院和国土安全部）的黑客攻击之后做出的最新回应。此前有调查称境外间谍活动波及 SolarWinds 网络，使其 Orion 软件被植入后门，并通过受污染的软件更新渠道推送到了客户网络。 通过政策法规上的“亡羊补牢”，美司法部希望建立适用于所有公共部门、广泛且具有弹性的网络安全入侵应对措施，并帮助政府努力识别、打造和披露常用产品或服务的漏洞补丁。若发现相关企业未能达到政府要求的安全标准，责任方还将承担相应的损失补救义务。 Lisa O. Monaco 解释称：长期以来，企业总是错误地认为瞒报比主动披露违规事件的风险要更小，但当下的环境已经大不相同。 通过今日宣布的倡议，我们将动用民事执法工具来追查那些不遵守网络安全标准规定的企业，尤其是接受联邦资金资助的政务承包商。 我们深知瞒报将让所有人都陷于风险之中，这也是我们必须确保的适当动用纳税人资金、并保护公共财政与维护公众信任的一项有力工具。 据悉，这项倡议的公布时间，恰逢加密货币执法团队的成立，以期处理复杂调查和滥用加密货币的刑事案件。 本周早些时候，参议员 Elizabeth Warren 和众议员 Deborah Ross 还提出了一项“赎金披露法案”，以强制勒索软件受害者在 48 小时内披露其支付的赎金金额的详细信息。   （消息及封面来源：cnBeta）

在卡巴斯基研究人员进行了8个月的调查后，FinSpy监控工具终于被发现。自2018年以来，针对间谍软件木马的检测已经减少，但事实证明，它并没有消失——它只是隐藏在各种初级植入程序后面，帮助掩盖其活动。与此同时，它还在继续提高自己的能力。 FinSpy(又名FinFisher或Wingbird)是一款适用于Windows、macOS和Linux的多平台软件，被当作执法工具存在于市面上。然而，就像NSO集团的Pegasus一样，它经常被用于恶意的目的。于2011年它首次被发现，是一款提供全方位服务的间谍软件，能够窃取信息和证书，并密切监测用户活动。例如，它收集文件列表和已删除的文件，以及各种文档;可以通过网络摄像头和麦克风直播或记录数据;可以窥探消息聊天;它使用浏览器中的开发人员模式来拦截使用HTTPS协议保护的流量。 2019年中期，在TeamViewer、VLC Media Player和WinRAR等合法应用程序中，研究人员发现了的几个可疑安装程序包含恶意代码。然而，据卡巴斯基说，它们似乎与任何已知的恶意软件都没有关联。但有一天，研究人员偶然发现了一个缅甸语网站，上面既有木马程序安装程序，也有用于Android的FinSpy样本。 周二，卡巴斯基研究人员Igor Kuznetsov和Georgy Kucherin在以复古为主题的虚拟安全分析师峰会(SAS )上表示:“我们新发现一些合法应用的可疑安装程序，通过一个相对较小的、模糊的下载程序进入程序后门。”“在我们的调查过程中，我们发现后门安装程序只不过是第一阶段的植入程序，在真正的FinSpy木马之前，用来下载和部署进一步的负载。”   多种规避技术   新样品采用了多层规避策略。首先，根据分析，受害者下载并执行木马程序后，他们会受到两个组件的审查。第一个是“预验证器”，它运行多个安全检查，以确保它不会感染安全研究人员的设备。 预验证器从命令和控制(C2)服务器下载大量的安全外壳代码并执行它们——总共33个。研究人员指出，每个shellcode收集特定的系统信息(例如当前进程名)并将其上传到服务器。如果任何检查失败，命令与控制(C2)服务器将终止感染过程。 如果所有安全检查都通过，服务器将提供第二个组件，称为“后验证器”。它收集信息，使其能够识别受害机器并验证特定的目标(它记录运行的进程、最近打开的文档和截图)，并将其发送到其配置中指定的C2服务器。 卡巴斯基表示，C2服务器根据收集到的信息，决定是部署成熟的木马平台还是清除感染。 根据卡巴斯基的分析，如果FinSpy最终部署，它将被四个复杂的、定制的混淆器进行高度混淆。 研究人员解释说:“这种混淆的主要功能是减慢对间谍软件的分析速度。”   另一个规避策略是这样的，FinSpy的一个样本通过替换负责启动操作系统的Windows UEFI引导加载程序来感染机器。 该研究称:“这种感染方法允许攻击者安装bootkit，而无需绕过固件安全检查。”“UEFI感染非常罕见，通常很难执行，由于其强规避性和持久性，它们格外难以处理。虽然在这种情况下，攻击者没有感染UEFI固件本身，但在它接下来的系统启动阶段，攻击是特别隐蔽的，因为恶意模块安装在一个单独的分区，可以控制受感染机器的启动过程。” Kuznetsov说，攻击者做了大量工作，使安全研究人员无法访问FinSpy。他指出:“看起来就好像开发人员至少在混淆和反分析措施上投入了和制作木马本身一样多的工作。”“事实上，这种间谍软件部署得非常精确，几乎不可能分析，这也意味着它的受害者特别很难有效防御，研究人员面临着一个特殊的挑战——必须投入大量的资源来解开每一个样本。”   高度模块化的FinSpy   卡巴斯基还研究了最新样本的性能，看看是否有进化，发现FinSpy的架构仍然高度模块化，但比以往更难分析。这是因为一个名为“隐藏器”的组件对所有模块的加密。 Kuznetsov解释说:“它加密了属于整个基础架构的所有内存页面，包括协调器和所有插件，直到使用它们之前，所有内存页面都将保持加密。”“一旦需要执行代码或访问数据，那一个页面就会被解密。当不再需要它时，它就会被再次加密。” 他补充说，“这意味着，即使你制作一个受感染机器的实时内存图像，也很难在内存中找到木马，因为你能看到的唯一未加密的东西，只是这个隐藏程序的一小部分。” 根据分析，隐藏器还负责启动“协调器”，协调器是一个核心模块，将加载其余的功能和控制插件。Kuznetsov说，它或多或少与之前的样本相同，但它增加了一个名为“通信器”的新模块，这是一个硬编码的二进制文件，位于用于维护C2通信的协调器的资源部分。   另一个新模块是进程蠕虫。 “这不会在机器之间感染或传播。但是，它在机器内部传播，从整个架构启动的顶部进程(通常是explorer.exe或Winlogon.exe)开始，”Kuznetsov解释说。“它会在所有子进程中复制自己，所有受感染的子进程将与父进程保持通信。” 该蠕虫模块还将键盘、鼠标点击和各种API连接到FinSpy的各种插件，以实现数据收集目的。 “插件本身主要用来收集受害者的信息，”他说。“用于其他任务的插件并不多。” 有一些单独的插件可以窃取vpn证书、拨号证书、微软产品密钥信息、浏览器搜索和浏览历史、Wi-Fi连接信息、文件列表等等。也有一个通用的插件，任何通过IP (VoIP)软件的声音都可以录制下来。 “同样有趣的是，有一些数据取证工具可以找到已删除文件的信息，并存储已删除文件的历史。”Kuznetsov说，“还有一个非常独特的插件，利用了现代浏览器的除错功能。通过设置特定的环境变量，它们使浏览器将所有SSL加密密钥转储到磁盘上。通过这样做，攻击者可以解密来自受害者的所有SSL通信。” 所有的信息都可以实时收集，并可以向攻击者直播或预先录制。研究人员指出，在启动感兴趣的应用程序时，数据收集也可以被触发。 有一件事是明确的:FinSpy仍在不断开发中，它的开发者已经花费巨大的努力来规避分析。 Kuznetsov说:“我们和几位研究人员花了大约8个月的时间。”“在那段时间里，我们真的必须升级所有的工具。我们不得不从头开始发明和制造一些工具，还完成了一份300页的报告。结论是什么？我们认为这个与FinSpy的斗争还将持续很长一段时间。他们会一直更新和升级他们的设备。”   消息来源：ThreatPost，译者：Zoeppo； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接

一项新的调查显示，70%成年人仍在使用同一个密码做一件以上事情。在对1041名18岁或以上美国居民的调查中，PCMag发现，25%的人承认有时会重复使用同一个密码，24%的人说他们大部分时间都这样做，而21%的人承认一直这样做。 重复使用密码是黑客喜欢的事情，尤其是许多网站和服务使用电子邮件地址作为用户名。如果这些登录凭证出现在大规模数据泄露中，有人可以简单地在多个地点尝试，看看他们是否幸运。2016年在暗网上出售的1.67亿个LinkedIn账户被怀疑使马克-扎克伯格和凯蒂-佩里等高知名度的账户遭到黑客攻击，这导致微软禁止使用愚蠢的密码。 该调查还询问了人们如何存储他们的密码。最流行的方法是记住它们。这显然是非常安全的，但你确实有完全忘记它们的风险。令人惊讶的是，36%的人选择的第二种最受欢迎的方法是它把们写下来，这种做法不是很安全，24%的人说他们把它们写在手机或其他电子设备中，这仍然有风险。 33%的参与者倾向于使用密码管理器这一推荐方法。密码管理器并不是万无一失的，但它们无疑是最安全的选择。他们还创建了非常强大的密码，并使其易于更改，这很好，因为超过四分之一的人说他们从不更改自己的密码。 调查发现，54%的人说他们曾是网络犯罪的受害者，其中信用卡诈骗（27%）、恶意软件（18%）、身份证盗窃（17%）和网络钓鱼攻击（16%）是最常见的罪行。只有53%的人说他们使用防病毒软件。 微软长期倡人导们放弃放密码而采用更安全替代方案，它最近宣布，用户现在可以选择从他们的微软账户中删除密码，并使用其他几种方法之一进行登录，包括Windows Hello、Microsoft Authenticator移动应用程序、安全密钥或通过发送到电子邮件或电话的验证码。   （消息及封面来源：cnBeta）