现在许多汽车车主都会选择使用 ETC 信用卡，此类信用卡最大的优点是让车主在通过高速路收费站时能走 ETC 快速通道，自动扣取路费无需人工操作，省时省力。一般银行都默认为 ETC 信用卡开通 200 – 300 元的免密支付功能，而日前网上曝光的一段小视频显示，似乎有人利用这一普遍现象从中获取非法利益。 视频中一人用一台移动 POS 机在进行刷卡收费金额确认的操作后，将 POS 机贴在 ETC 信用卡附近的汽车挡风玻璃上，便成功刷走卡里的 100 元。操作者展示了上述流程结束后产生的签购单，底部显示“交易金额未超 300 元，免密免签”。 目前该视频的真实性还未得到确认，不过广大车主还是留个心眼比较好，当无需使用 ETC 信用卡时，注意将其收起。 中国银联连夜回应 ETC 盗刷视频：涉嫌犯罪 可申请补偿 银联专家表示已经注意到网上流传的相关视频，在此提醒持有加载金融功能 ETC 卡的持卡人，注意保管好自己的银行卡片。对于这类长期离身的卡片，持卡人可以给发卡机构打电话，关闭 ETC 以外的功能。视频案例中不法分子利用了银联卡小额免密的功能，在特定场景下实施不法行为涉嫌刑事犯罪，视频中 POS 机具的使用也违反了《银行卡收单业务管理办法》中的相关规定，或将面临行政及刑事处罚。 中国银联提醒：中国银联已联合各商业银行为持卡人提供了小额免密免签专项风险保障服务。持卡人一旦发现异常的免密免签交易，可以第一时间联系发卡银行申请补偿。因双免交易产生的否认交易，都可以得到赔付。 稿源：cnbeta，腾讯新闻；封面：百度搜索

国家电网面向 4 亿用户推出的掌上电力 App，如今正成为数据黑色产业链觊觎的对象。近日，有知情人士向 21 世纪经济报道爆料：“掌上电力、电 e 宝 App 正在出现数据泄露，涉及用户规模已经超过千万级，而且部分数据可能已经流入黑产，危害持续扩大。” 掌上电力系国内首批电力便民服务类 App，注册用户可以通过该 App 进行电费充值、故障报修、要求应急送电、查看停电通知等等操作。2016 年 11 月开始，国家电网在全国 27 个省（市、区）开始全面推广掌上电力，目前已拥有接近 9000 万用户。 知情人士透露，“掌上电力开始面向消费者推广时，淘宝上就开始出现了大量提供 ‘掌上电力绑定’ 服务的店铺，他们给各省电力公司提供关注、注册、绑定等服务，为各省的掌上电力迅速增加‘用户量’。” 记者以关键词“掌上电力”在淘宝搜索，共发现 180 多个店铺，其中销量较高的 72 个店铺历史销量总计 831807 笔，产品中包括关注、注册、绑定三类。 国家电网已向淘宝举报 12 月 9 日，国家电网已经向淘宝官方提起投诉、举报，但至 12 月 12 日下午 14 时，掌上电力绑定服务仍未下架。 12 月 12 日 15：40 之后，21 世纪经济报道记者搜索“掌上电力”，大量宝贝已被下架，此前记者统计过的销量较高的宝贝均显示“商品过期不存在”。但仍然有 70 多个宝贝出现在搜索结果中，而且，记者统计过的 72 家店铺均未被关闭，已经有店铺通过更改宝贝图片、夹带关键词等方式逃避审批，上述使用淘宝直通车服务的商户，仍然排在广告栏的首位。 官方否认大量信息泄露 近日国家电网对外联络部回应称：“经查证，根据目前掌握的实际情况和公司现有的技术管控手段，在推广掌上电力、电 e 宝 App 过程中不存在泄露大量户号、查询密码、详细地址的情况。” 稿源： 21 世纪经济报道 节选，有改动与更新，封面：百度搜索

据外媒报道，国外社交网站 Facebook 出现了一个新的“欺诈”骗局。如果你在 Facebook 上看到某某明星流出的成人视频，请不要点击，骗子正试图诱骗 Facebook 用户点击该视频链接、随后会下载安装恶意软件。一旦安装，恶意软件会不断在浏览器中显示广告页面，如伪造的彩票网站。研究团队 Cyren 还发现了一种恶意 Chrome 扩展插件通过这种 Facebook 骗局传播。 这些消息中包含一个 PDF 文件，其中含播放按钮图像的明星裸体图片，诱骗用户认为这个 PDF 包含一个视频链接，点击后链接重定向至 IE 浏览器、Firefox 或 Safari ，并显示相关照片、弹出窗口和虚假彩票广告页面。 谷歌 Chrome 浏览器受影响最为严重 一旦点击链接，Chrome 浏览器会重定向到一个假的 YouTube 页面，并弹出窗口要求受害者安装 Chrome 扩展插件来查看视频。一旦安装恶意扩展插件，浏览器又将显示 Facebook.com 登录页面，并提示他们重新进行身份验证。因而，攻击者就可获得 Facebook 用户的登录凭据，进一步执行恶意活动。 Cyren 团队分析了 Chrome 扩展的源代码发现，扩展附带了监测和拦截实时网络流量等恶意功能。此外，恶意扩展插件还可以防止受害者访问 Chrome 扩展程序设置页面，使受害者无法禁用恶意插件。 稿源：本站翻译整理，封面来源：百度搜索

据外媒报道，上周末，匿名浏览器 Tor 的开发者发布 Tor 浏览器沙盒版的首个 Alpha 版本。 Alpha 版本指产品仍然需要完整的功能测试，而其功能亦未完善，但是可以满足一般需求。 沙盒是一种安全机制，为运行中的程序提供隔离环境。Tor 浏览器沙盒版旨在隔离 Tor 进程与操作系统的其他进程，并限制交互过程以及 API 查询，防止暴露真实的 IP 地址、MAC 地址，计算机名等信息。 此前，FBI 就专门针对 Tor 浏览器“缺陷”调查、追踪匿名用户浏览儿童色情网站案件，FBI 曾利用 Firefox 漏洞通过网络调查技术获得访问该网站 Tor 用户的 IP 地址和 MAC 地址。 目前，该浏览器只适用于 Linux 发行版本，二进制版本将会在本周晚些时候发布。开发者将 Tor 相关最新代码发布在 GitHub 上。 Tor 沙盒项目从今年 9 月起开始开发，十月份开发出雏形。 稿源：本站翻译整理，封面来源：百度搜索

据外媒报道，安全公司 McAfee 耗时长达 6 个月修复了企业版 Linux 杀毒软件（ McAfee VirusScan Enterprise for Linux ）的 10 个关键漏洞，攻击者可以利用这些漏洞以 Root 权限远程执行代码。 McAfee VirusScan Enterprise for Linux 利用一个基于 Linux 的独特访问扫描程序可持续监控系统中是否存在潜在攻击。 自动化的防病毒安全更新可以在无需重新启动系统的情况下，保护企业免受最新威胁的侵扰。 林肯实验室安全研究员 Andrew Fasano 于 6 月 23 日发现了漏洞并通过美国计算机应急响应中心报告给了 McAfee 公司。McAfee 申请为期六个月的非披露期用于修复漏洞，时长远远超过标准的 90 天非披露期。这些漏洞于在 12 月 9 日修补完毕并在官网公布漏洞详情。 Fasano 称通过利用一系列漏洞，攻击者可以获得设备的 Root 权限并远程执行代码。 首先，攻击者可以利用两个漏洞 ( CVE-2016-8022, CVE-2016-8023 ) 暴力破解认证凭证并登录 McAfee Linux 的客户端。 之后，攻击者使用另一个漏洞（ CVE-2016-8021 ）创建恶意脚本并强制软件更新写入系统。脚本执行后，再利用相同的漏洞（ CVE-2016-8021 ） 以及身份验证远程代码执行提权漏洞( CVE-2016-8020 ）获得提权。 最终，攻击者结合这些漏洞和恶意脚本，在受害者设备上以 Root 权限操作并执行代码。 Fasano 称利用这些漏洞有个前提条件，当用户登录 McAfee Web 接口时会产生一个登录令牌，时效为一个小时，攻击者需要在此期间完成令牌的暴力破解。 此外，Fasano 还发现存在远程读取未经身份验证的文件、测试漏洞（ CVE-2016-8016，CVE-2016-8017 ）; 跨站请求伪造令牌漏洞（ CVE-2016-8018 ）; 跨站点脚本漏洞（ CVE-2016-8019 ）; HTTP响应拆分漏洞（ CVE-2016-8024 ），以及 SQL 注入漏洞（ CVE-2016-8025 ）。 受影响的软件： VirusScan Enterprise for Linux ( VSEL ) 2.0.3 及更早版本 修复建议： 下载补丁修复漏洞或使用 McAfee Endpoint Security for Linux ( ENSL ) 10.2 及更高版本。 稿源：本站翻译整理，封面来源：百度搜索

据外媒报道，英国政府公布了 2015 年制定的国家安全战略与战略防务与安全审查 (SDSR) 计划的实施情况，并汇总成：2016 国家安全战略实施年度 PDF 报告（ National Security Strategy and Strategic Defence and Security Review 2015 First Annual Report 2016）。 国家安全战略与战略防务与安全审查（SDSR）计划于 2015 年 11 月发布执行，并于 2016 年 12 月发布了第一份年度报告，报告阐述了英国政府如何向公众兑现承诺和国际事务的进展，以及该战略如何帮助英国应对越来越复杂的国际威胁和挑战。 该战略非常重视网络安全建设，并将网络安全与国家威胁（俄罗斯在叙利亚和乌克兰的行动）和死灰复燃的恐怖主义一起列为重中之重的威胁问题。 该报告表示：英国面临的网络威胁已显著增长，威胁既有来自国家支持的网络攻击、也有非国家支持的网络犯罪活动。英国在社会、商业和政府的各个领域都越来越依赖于网络技术，这意味着国家和经济的运行必然会面临网络攻击的威胁。 2016 年，政府与私营企业和通信服务供应商不断合作，旨在防止和减少对基础设施的网络攻击。英国情报机构政府通信总部（GCHQ）也成立下属部门国家网络安全中心，该部门成为政府与企业间建立新型伙伴关系的纽带，为私营部门提供安全咨询服务、鼓励企业告知其面临的各种网络安全问题并及时通知企业相关网络安全事件、实现情报共享。 根据 2016 年 11 月更新的国家网络安全战略，政府将加大对重点设施的安全检测系统的投资并积极响应网络安全防御。英国国家网络安全战略还强调了网络安全技能短缺。为此，英国政府希望推出一个网络安全教育计划，并将覆盖到在校学生等众多青少年群体。目前，政府正在与业界合作针对能源、金融和运输三个国家关键基础设施行业，制定具体的网络人才培训方案。 英国政府还打算整顿“暗网”，国家犯罪调查局(NCA)也专门新成立了暗网情报部门。与英国国家安全战略相关的诸多信息，都已包括在报告中。 稿源：本站翻译整理，封面来源：百度搜索

上周韩国先驱报曾报道，韩国国防部证实军方内部网络第一次遭黑客入侵，导致大量军事机密被泄露，怀疑系朝鲜所为。 近日据外媒报道，一家朝鲜政府控制的媒体网站对此进行回应，平壤宣称这些指控是“无稽之谈”，旨在分散韩国民众对青瓦台丑闻的关注度。韩国领导人朴槿惠在上周议会投票后被弹劾。 文章解释称，朝鲜向对手发动攻击不会使用本国的 IP 地址，那会留下痕迹以帮助韩国识别攻击者。朝鲜这家网站表示，不难看出所谓“北方黑客”理论，是韩国政府制造转移民众视线的谎言。 直至目前“黑客入侵”事件的调查仍在继续，韩国方面拒绝公布事件的更多细节。 稿源：本站翻译整理，封面：百度搜索

过去几周，苹果 iCloud 用户一直受到日历垃圾活动邀请的骚扰。苹果称已经意识到这个问题并着手解决。近日，苹果升级了其网页版 iCloud 服务，增加了一个“报告垃圾活动邀请”的功能。这个功能可以让用户删除垃圾邀请并将发送者信息向苹果报告以开展进一步调查。目前该功能只在 iCloud.com 网页版日历应用上可用，不过相信不久苹果就会在 iOS 版和 Mac 版的系统更新中加入此项功能。 收到此类垃圾邀请信息的骚扰，可以通过登录 iCloud.com 网页，通过该功能删除垃圾邀请，然后系统会自动同步到你所有使用该 iCloud 账号的 Mac 电脑和 iOS 设备上。 操作方法如下： （1）登录 iCloud.com，进入日历 Calendar 界面 （2）点开一个垃圾邀请，弹出窗口中点击 “Report Junk” 链接 （3）该垃圾信息将会从你所有同步的日历中删除，并将发送者信息发送给苹果。 稿源：cnbeta.com，有删改，封面：百度搜索

美国参议院在 12 月 8 号通过由两党参议员共同提出的“反外国宣传和谣言法案”，旨在帮助美国及其盟友对抗来自俄罗斯、中国和其他国家的谣言和宣传。 该法案要求美国国务院成立一个跨部门机构协调政府各部门的反谣言工作，而且资助非政府组织、智库、公民社会组织和专家进行相关活动。 谣言和假新闻被认为是把特朗普推上总统宝座的一大助力，而俄罗斯是其中的幕后黑手。 稿源：solidot奇客，有删改，封面来源：百度搜索

据外媒报道，技术型诈骗分子可以利用微软 Edge 浏览器 ms-appx 协议漏洞，伪造恶意网站警告页面进行欺诈活动。 ms-appx 和 ms-appx-web 方案可以引用来自应用包的应用文件。这些文件通常为静态图像、数据、代码和布局文件。 当 Edge 浏览器检测到打开可疑的恶意网站时会出一个红色的警告页面“SmartScreen”。 ms-appx-web://microsoft.microsoftedge/assets/errorpages/PhishSiteEdge.htm 研究员 Manuel Caballero 称，诈骗分子可以利用漏洞创建一个伪造的警告页面，通过改变 URL 字符并附加哈希值内容伪装成合法的站点，显示文字警告并替换联系电话为诈骗电话。 window.open(“ms-appx-web://microsoft.microsoftedge/assets/errorpages/BlockSite%2ehtm?”+ “BlockedDomain=facebook.com&Host=Technical Support Really Super Legit CALL NOW\:”+ “800-111-2222#http://www.facebook.com”); 受害者只需点击电话号码链接即可非常方便的联系诈骗分子。这种诈骗方式没有出现任何“可疑操作”，这让受害者更加信服警告的真实性。 稿源：本站翻译整理，封面来源：百度搜索