導語:隨著數字化的深入普及,業務愈加開放互聯。企業的關鍵資料、使用者資訊、基礎設施、運營過程等均處於邊界模糊且日益開放的環境中,涉及利益流和高附加值的業務面臨多樣的安全隱患,隨時可能遭遇損失,進而影響企業運營和發展。
一方面,業務安全隱患形式多樣,在電商、支付、信貸、賬戶、互動、交易等形態的業務場景中,存在著各類等欺詐行為;另一方面,欺詐行為日益專業化、產業化,且具有團伙性、複雜性、隱蔽性和傳染性等特點。
為了讓大家更全面的瞭解業務安全的風險,頂象自7月起將針對每月的業務安全熱點事件進行盤點總結。
國內安全熱點
1、網傳用友等頭部軟體廠商遭勒索軟體攻擊,用友回應:僅少數客戶受影響,建議升級
8月29日,據國內知名技術社群qidao123.com訊息,多個安全技術社吐槽稱以用友為代表的頭部管理軟體廠商遭遇大規模勒索攻擊,從而影響到無數下游企業,引發了難以想象的危害,其損失暫時無法估計。
由於病毒模組的投放時間與企業使用者升級軟體時間相近,因此有安全廠商表示,該勒索攻擊事件有可能是駭客透過供應鏈汙染或漏洞的方式進行投毒。簡單來說,駭客首先透過漏洞或其他方式向受害者終端投放後門病毒模組,以此執行任意惡意模組(惡意模組資料被AES演算法加密),再透過後門模組在記憶體中載入執行勒索病毒。
據悉,一旦被攻擊,使用者計算機檔案被.locked字尾的勒索病毒加密,攻擊者索要0.2個BTC(約合2.7萬+人民幣)的贖金。
目前受該勒索病毒影響的企業使用者數量還在不斷增加。根據現有的資訊,該勒索病毒與之前流行的TellYouThePass勒索病毒為關聯家族,甚至有可能就是TellYouThePass的最新變種。
8月30日,用友旗下專注於小微企業雲服務暢捷通T+軟體的客戶,昨日在社交平臺反饋其伺服器中招勒索病毒一事。
對此,暢捷通回應稱:“目前已安排工程師協助解決,僅少數客戶受影響。建議使用者升級到暢捷通運營的公有云服務或採用暢雲管家等雲部署方式。”
友情提醒:可能遭受攻擊的企業使用者應立即對本地資料進行手動備份和自動備份,一旦不幸中招也可透過備份對資料進行恢復,或者求助於安全廠商,尋找解決方案。
2、《網路安全標準實踐指南——健康碼防偽技術指南(徵求意見稿)》釋出
為指導健康碼技術提供方提升健康碼技術防偽能力,近日,全國資訊保安標準化技術委員會秘書處釋出了《網路安全標準實踐指南——健康碼防偽技術指南(徵求意見稿)》(以下簡稱《指南》),面向社會公開徵求意見。
《指南》依據有關政策法規要求,做好支撐疫情防控工作,防止健康碼偽造安全風險,對健康碼防偽提供技術實踐參考。當前,現場健康碼偽造事件時有發生,特別是違法違規的偽造工具為動態清零工作帶來困難,本實踐指南圍繞現場掃碼這一最常見場景,提出技術建議,為提升健康碼技術防偽能力、提高整體安全水平提供參考。
《指南》提供方可採用的防偽技術措施包括但不限於:
在掃碼後顯示的介面中,將被掃碼地點所登記的個人身份資訊脫敏後突出顯示;
在掃碼後播報語音時,除正常播報掃碼結果、核酸天數等資訊外,還播報被掃碼地點所登記的個人手機號後三位;
在掃碼及自查詢後顯示的介面中,每天變化顯示介面背景的一部分,包括但不限於以下幾種方式。掃碼情況下,每天的變化應與掃碼地點相關,使同一天內在不同地點掃碼得到的顯示介面可能在存在顯著差異。
3、公安部:刷單類電信網路詐騙案持續高發,佔全部電詐案四成
8 月 10 日訊息,據公安部網站訊息,為深入推進夏季治安打擊整治“百日行動”,依法嚴厲打擊電信網路詐騙等群眾反映強烈的突出違法犯罪,近日,公安部組織指揮廣東、河南、湖南等 30 個省區市公安機關同步開展為期一週的集中收網行動,成功打掉一批刷單類電信網路詐騙及提供返利收款、推廣引流等服務的黑灰產犯罪團伙,共抓獲違法犯罪嫌疑人 1100 餘名,繳獲手機、電腦等作案工具 3000 餘個 (臺)。
今年以來,刷單類電信網路詐騙案件持續高發,發案數和資金損失均佔全部電信網路詐騙案件的 40%,已成為當前危害最突出的電信網路詐騙型別。公安機關工作中發現,為增強詐騙活動迷惑性、提高引流成功率,犯罪分子不斷變換作案手法,引流方式從單一發布兼職廣告向利用網路色情、免費領取禮品等多種方式轉變,詐騙手法從傳統購買商品、點贊返利向“做任務式”刷單、投資理財刷單演變。其中,“做任務式”刷單詐騙最為突出,犯罪分子通常打著“免費做任務得佣金”的幌子,吸引受害人嘗試“做任務”,並在前期以小額返利騙取受害人信任,隨後逐步誘導受害人下載詐騙 App 進行墊資充值,在受害人提現時以“任務未完成”“卡單”等為由拒不支付受害人本金和佣金,甚至誘騙其追加投入更多資金,最終導致受害人血本無歸。
4、1.2萬起!國家網信辦曝光未成年人電信網路詐騙典型案例
8月8日,據中國網信辦訊息,今年以來,已處置涉未成年人電信網路詐騙案件1.2萬餘起。
暑假期間,國家網信辦反詐中心監測發現多起針對未成年人的電信網路詐騙事件。不法分子經常以加入“明星粉絲QQ群”為誘餌,聲稱完成任務可領取禮品或明星簽名,誘導未成年人進行轉賬或刷單;有的宣稱免費贈送遊戲裝備,再透過“啟用費、認證費、驗證費”騙取未成年人錢財,嚴重危害未成年人身心健康。
並公佈了七起典型案例。
5、工信部通報 47 款侵害使用者權益 App 和 SDK
8 月 26 日,工信部發布了《關於侵害使用者權益行為的App 通報(2022 年第 5 批,總第 25 批)》。
工信部表示,依據《個人資訊保護法》《網路安全法》《電信條例》《電信和網際網路使用者個人資訊保護規定》等法律法規,工信部組織第三方檢測機構對群眾關注的酒店餐飲類、未成年人應用類等移動網際網路應用程式(App)及第三方軟體開發工具包(SDK)進行檢查,對發現存在侵害使用者權益行為的共 227 款 App(SDK)提出整改要求。截至目前,尚有 47 款 App(SDK)未按要求整改,現予以通報。
國外安全熱點
1、員工被釣魚,雲通訊巨頭Twilio客戶資料遭洩露
據Bleeping Computer網站8月8日訊息,雲通訊巨頭Twilio表示,有攻擊者利用簡訊網路釣魚攻擊竊取了員工憑證,並潛入內部系統洩露了部分客戶資料。
8月4日,Twilio首次注意到了這些旨在竊取員工憑證的複雜社會工程學攻擊。這些攻擊者冒充公司內部的IT部門人員,向公司員工傳送簡訊,警告他們的系統密碼已經過期,需要透過點選簡訊附帶的URL進行修改。該URL帶有“Twilio”、“Okta”和“SSO”等具有高模擬性的欄位,受害員工一旦點選便會跳轉到一個克隆的 Twilio 登入頁面。
當被問及有多少員工的帳戶在網路釣魚攻擊中“失陷”,以及有多少客戶資料受到洩露影響時,Twilio 的 EMEA 通訊總監 Katherine James 拒絕透露相關資訊。Twilio 對外表示,已經與美國的簡訊供應商取得聯絡,封閉了傳送釣魚簡訊的賬戶。
2、TikTok 被曝 App 內瀏覽器“監控輸入和點選的任何內容”
8 月 21 日訊息,據安全研究員 Felix Krause 稱,TikTok 在 iOS 上的自定義 App 內瀏覽器將 JavaScript 程式碼注入外部網站,允許 TikTok 在使用者與給定網站互動時監控“所有鍵盤輸入和點選”,但據報導 TikTok 公司否認了該程式碼被用於惡意行為。
Krause 表示,當使用者與外部網站互動時,TikTok App 內瀏覽器會“訂閱”所有鍵盤輸入,包括密碼和信用卡資訊等任何敏感細節,以及螢幕上的每次點選。
“從技術角度來看,這相當於在第三方網站上安裝鍵盤記錄器,”Krause 在談到 TikTok 注入的 JavaScript 程式碼時寫道。然而,研究人員補充說,“僅僅是應用將 JavaScript 注入外部網站,但並不意味著該應用正在做任何惡意的事情。”
在與福布斯分享的一份宣告中,TikTok 發言人承認了有問題的 JavaScript 程式碼,但表示它僅用於除錯、故障排除和效能監控,以確保“最佳使用者體驗”。
“與其他平臺一樣,我們使用 App 內瀏覽器來提供最佳使用者體驗,但所討論的 Javascript 程式碼僅用於除錯、故障排除和效能監控 —— 例如檢查頁面載入速度或是否崩潰。”
3、針對微軟企業電子郵件服務,大規模網路釣魚攻擊來襲
近期,來自ThreatLabz的安全研究人員發現了一批大規模的網路釣魚活動,該活動使用中間人攻擊 (AiTM) 技術以及多種規避策略。
據分析,這些網路釣魚活動和微軟發現的活動如出一轍,它們不但使用AiTM繞過多因素身份驗證 (MFA),還在攻擊的各個階段使用了多種規避技術,旨在繞過典型的電子郵件安全和網路安全解決方案。
ThreatLabz認為該活動是專門為使用微軟電子郵件服務的企業而設計的。“商業電子郵件洩露 (BEC) 對企業來說仍是一個威脅,此次活動進一步強調了防範此類攻擊的必要性。”
ThreatLabz表示,這些網路釣魚攻擊第一步就是向受害者傳送帶有惡意連結的電子郵件,威脅參與者幾乎每天都在註冊新的網路釣魚域名,並且大多數目標企業是金融科技、貸款、金融、保險、會計、能源和聯邦信用合作社行業等行業。而且多數目標企業位於美國、英國、紐西蘭和澳大利亞。
4、新釣魚平臺Robin Banks出現,多國知名金融組織遭針對
近期出現了一個名為 "Robin Banks "的新型網路釣魚服務(PhaaS)平臺,提供現成的網路釣魚工具包,目標是知名銀行和線上服務的客戶。該釣魚平臺的目標包括了花旗銀行、美國銀行、Capital One、Wells Fargo、PNC、美國銀行、勞埃德銀行、澳大利亞聯邦銀行和桑坦德銀行等各國知名金融機構。
此外,Robin Banks還提供了竊取微軟、谷歌、Netflix和T-Mobile賬戶的模板。根據IronNet的相關報告顯示,Robin Banks已經被部署在6月中旬開始的大規模釣魚攻擊活動中就已經出現了Robin Banks的身影,其透過簡訊和電子郵件針對受害者進行釣魚攻擊。
5、2021年,身份欺詐案例創下新記錄
根據身份盜用資源中心 (ITRC) 的資料,谷歌語音詐騙在 2021 年的身份相關欺詐案例中創下新紀錄。
據統計,2021年共計收到14,947份來自消費者的報告,比2020年增加了26%,是有史以來處理的最多的一次。
其中一半(50%)是詐騙受害者:也就是說,他們與攻擊者共享個人身份資訊(PII)。超過一半(53%)的這一組包括谷歌語音詐騙,是今年最流行的欺詐型別。
欺詐者通常會尋找在網上銷售商品的受害者。他們會向受害者傳送一個谷歌驗證碼,並要求受害者分享該程式碼——表面上是為了驗證他們是“真正的”賣家。
事實上,如果受害者這樣做,他們的電話號碼將被連結到一個新建立的欺詐性谷歌語音帳戶,該帳戶將被用於詐騙他人。
在其他地方,ITRC記錄的“身份濫用”事件增加了8%,總數達到4168起。其中五分之二(40%)與金融賬戶濫用有關,其中大多數與新賬戶欺詐(64%)有關,其餘與賬戶接管(36%)有關。
6、蘋果安全漏洞登上熱搜第一 涉及iPhone、iMac等
據美聯社20日報導,美國蘋果公司當地時間本週三釋出兩份安全報告,兩份報告披露,公司旗下智慧手機iPhone、平板電腦iPad和iMac電腦等產品存在嚴重安全漏洞。
這些漏洞可能會讓潛在的攻擊者入侵使用者裝置、獲得管理許可權甚至完全控制裝置並執行其中的應用軟體。
值得一提的是,8 月17、18 日,蘋果釋出多個安全性更新,隨後還建議使用者儘快更新所有裝置上的系統,以修補週三公佈的漏洞,目前蘋果安全漏洞已經修復,安全專家也呼籲蘋果使用者立即下載更新。
據介紹,受本次漏洞影響的裝置涵蓋了幾乎所有的蘋果產品。其中,手機包括iPhone 6S及以後的型號;平板包括第五代及以後的iPad,所有iPad Pro,以及iPad Air 2;電腦則是執行MacOS Monterey的Mac。此外,該漏洞還能影響到部分型號的iPod。