9月業務安全月報 | 西北工業大學遭美國國家安全域性攻擊；頂象釋出人臉識別白皮書；《網路安全法》或迎來修改

導語：隨著數字化的深入普及，業務愈加開放互聯。企業的關鍵資料、使用者資訊、基礎設施、運營過程等均處於邊界模糊且日益開放的環境中，涉及利益流和高附加值的業務面臨多樣的安全隱患，隨時可能遭遇損失，進而影響企業運營和發展。

一方面，業務安全隱患形式多樣，在電商、支付、信貸、賬戶、互動、交易等形態的業務場景中，存在著各類等欺詐行為；另一方面，欺詐行為日益專業化、產業化，且具有團伙性、複雜性、隱蔽性和傳染性等特點。

為了讓大家更全面的瞭解業務安全的風險，頂象自7月起將針對每月的業務安全熱點事件進行盤點總結。

國內安全熱點

反電信網路詐騙法表決透過，12月 1 日起施行

十三屆全國人大常委會第三十六次會議9月2日表決透過反電信網路詐騙法，該法將於2022年12月1日起施行。反電信網路詐騙法共七章50條，包括總則、電信治理、金融治理、網際網路治理、綜合措施、法律責任、附則等，堅持以人民為中心，統籌發展和安全，立足各環節、全鏈條防範治理電信網路詐騙，精準發力，為反電信網路詐騙工作提供有力法律支撐。

此外，草案三審稿還將增加更多規定，從而加強對老年人、青少年等群體的宣傳教育，增強宣傳教育的針對性、精準性；並要求要求有關行業企業對本領域新出現的電信網路詐騙手段及時向使用者作出提醒。

西北工業大學遭網路攻擊，攻擊源頭系美國國家安全域性

9月5日，據國家計算機病毒應急處理中心披露，西北工業大學遭網路攻擊事件系美國國家安全域性（NSA）所為。在針對該校的網路攻擊中，NSA使用了40餘種專屬網路攻擊武器，持續開展攻擊竊密，竊取該校關鍵網路裝置配置、網管資料、運維資料等核心技術資料。

西北工業大學曾在6月22日釋出宣告，稱遭受境外網路攻擊，學校師生收到包含木馬程式的釣魚郵件，企圖竊取相關師生郵件資料和公民個人資訊。隨後，西安警方對該事件立案偵查。

9月27日，根據最新公佈的報告，美國網攻擊西北工業大學一事暴露了美國對西北工業大學組織網路攻擊的目的：滲透控制中國基礎設施核心裝置，竊取中國使用者隱私資料，入侵過程中還查詢一批中國境內敏感身份人員，並將使用者資訊打包加密後經多級跳板回傳至美國國家安全域性總部。

中科大給師生們發了一封釣魚郵件，結果3000多人上當了

中科大為了提升大家的網路安全意識，給 4 萬名師生發了一封 “ 釣魚郵件 ”。內容就是學校定製的月餅禮盒供不應求，郵箱管理中心部門特地採購了一批，以抽獎的形式回饋給大家。當然，這種好事外人肯定享受不到，為了證明你是自己人，要填入身份資訊。

這份郵件全部發放給中科大校內的師生，面對這份漏洞百出的郵件，有3100餘位學生、400餘位教職工中招。

根據中科大網路資訊中心的回覆，這次釣魚演練中，還是有不少同學填寫了個人真實資訊，其中人數最多的是本科一年級新生，此次演練中招人數大大超過了校方預期。

知乎在使用者截圖中嵌入盲水印，專家表示如涉及個人資訊需提前告知

9 月 8 日訊息，近日，知乎被曝在 App 和網頁端的使用者截圖中嵌入了盲水印，盲水印用肉眼難以分辨，需要在特定的圖片顯示效果下才能看到，經檢測工具測試後，網友發現盲水印疑似包括使用者 UID 等資訊。

圖片顯示效果下才能看到，經檢測工具測試後，網友發現盲水印疑似包括使用者 UID 等資訊。

有知乎使用者稱，使用者在桌面端可以使用 ublock 新增靜態規則 zhihu.com##div:last-of-type [class*="css-"] 消除水印。

值得一提的是，今年 2 月，豆瓣 App 也曾因給使用者截圖設定盲水印而引發熱議。對此，豆瓣回應稱這是新增的“小組內容防搬運功能”，小組組長可以在“小組管理-小組內容防搬運設定”開啟或關閉，開啟後，對該小組內容進行截圖時，截圖上將自動生成經加密的截圖使用者 ID、被截圖帖子 ID、截圖時間等資訊。已開啟該功能的小組，在小組帖子下方可以看到“內容出自 xxx 小組，該小組已開啟防搬運功能”的提示。據瞭解，部分企業也會在內網設定截圖盲水印，防止員工洩露內部資訊。

頂象重磅釋出《人臉識別安全白皮書》

9月13日，頂象釋出《人臉識別安全白皮書》。該白皮書共有8章73節，系統對人臉識別的組成、人臉識別的內在缺陷、人臉識別的潛在安全隱患、人臉識別威脅產生的原因、人臉識別安全保障思路、人臉識別安全解決方案、國家對人臉識別威脅的治理等進行了詳細介紹及重點分析。

《網路安全法》或迎來修改

9月14日，國家網信辦釋出《關於修改〈中華人民共和國網路安全法〉的決定（徵求意見稿）》，旨在進一步做好《中華人民共和國網路安全法》與相關法律的銜接協調，完善法律責任制度，保護個人、組織在網路空間的合法權益，維護國家安全和公共利益。

繼北京健康寶後，澳門健康碼又遭境外勢力攻擊

據《澳門日報》報導，去年 5 月初，澳門健康碼連續遭受境外網路攻擊，嚴重影響珠澳出入境秩序。司警局局長薛仲明曾在公開採訪中強調，澳門每天都遭到大大小小的網路攻擊，去年平均每分鐘約受到 3.4 次攻擊。近日，澳門特別行政區保安司司長黃少澤談及調查結果時表示，對澳門健康碼的持續性攻擊多達 300 多萬次，來自歐美地區。

信陽師範學院曝“學信網資訊洩露”，學院：已報警，涉事學生幹部被撤職

據國內多家媒體報導，9月19日，河南省信陽師範學院被曝“學信網資訊洩露”，導致不少學生三個月內不能享受購買蘋果電腦、耳機等產品的優惠政策。根據信陽師範學院釋出的通告，學校有關部門已於9月19日上午向信陽市五星鄉派出所報案，並立案調查。

公安部網安局即日起開展“斷號”行動，重拳打擊整治網路賬號黑產

9 月 23 日訊息，據央視報導，公安部網路安全保衛局自即日起至 12 月底部署開展“斷號”行動，集中打擊整治網路賬號黑色產業鏈。

據介紹，自 2019 年以來，公安網安部門共查處關停接碼平臺 140 餘個，收繳手機黑卡 2200 餘萬張，查獲網路黑賬號 3 億餘個，取得階段性顯著成效。

在此次“斷號”行動中，公安機關將進一步強化偵查打擊，堅持打平臺、追源頭、斷鏈條，依法嚴厲打擊各類惡意註冊網路賬號違法犯罪行為。

官方部門將進一步強化行業整治，督促網際網路企業落實主體責任，主動識別處置惡意註冊、非法銷售使用的網路賬號，組織網際網路企業對發現的網路黑號開展重新核驗。

女子玩羊了個羊被騙9萬元：彈窗廣告有陷阱

據媒體報導，近日，江蘇常州嚴女士在玩“羊了個羊”遊戲時，為了獲取道具觀看廣告。有資金需求的她正好看到一個貸款廣告，便按指引下載並註冊了一款貸款軟體。她見軟體顯示有餘額，為了提現就按照客服指引累計轉賬9萬元，之後意識到被騙。

國外安全熱點

GitHub使用者注意，網路釣魚活動冒充CircleCI竊取憑證

9月26日訊息，GitHub警告稱，有網路釣魚活動冒充CircleCI DevOps平臺，瞄準GitHub使用者竊取證書和雙因素身份驗證（2FA）程式碼。

GitHub自9月16日發現該活動，釣魚資訊聲稱使用者的CircleCI會話已過期，試圖引導使用者使用GitHub憑據登入。

點選釣魚連結會跳轉到一個類似GitHub登入頁面的釣魚網站，使用者輸入任何憑據都會被竊取使用者輸入的任何憑證。對於啟用了基於TOTP的雙因素認證（2FA）的使用者，釣魚網站還會將TOTP程式碼實時轉發給威脅行為者和GitHub，以便威脅行為者侵入賬戶。GitHub指出，受硬體安全金鑰保護的帳戶不容易受到這種攻擊。

俄羅斯流媒體巨頭遭惡意攻擊，210萬中國使用者資料洩露

9月1日訊息，俄羅斯流媒體巨頭START 在上週日表示，其客戶的個人資訊在一次網路攻擊中被洩露。

該公司沒有透露具體有多少使用者受到此次事件的影響，但根據俄羅斯Telegram頻道“Information Leaks”的資訊（該頻道率先公佈了此次事件，並附上一張據稱為洩露資訊的截圖），洩露資料庫總計72 GB大小，包含4400萬客戶的資料（據後續分析，該資料內包含745萬個唯一電子郵箱，這可能更接近受影響使用者的真實數量）。

此次洩露的資訊包括使用者名稱、電子郵件地址、雜湊密碼、IP地址、使用者註冊國家、訂閱起始及結束日期，以及最後一次登入記錄。

據稱，這起資料洩露事件已經影響到全球觀眾，包括俄羅斯本土的2460萬使用者、哈薩克的230萬使用者、中國的210萬使用者及烏克蘭的170萬使用者。

為防釣魚，Win11新版本在記事本、網站中輸入密碼時會發出警告

據Bleeping Computer網站訊息，剛剛釋出的Windows 11 22H2版本附帶了一項名為增強網路釣魚防護的新安全功能，當使用者在不安全的應用程式或網站上輸入 Windows 密碼時會發出警告。

在既往的釣魚攻擊中，Windows 登入憑證往往是高價值目標，憑藉這些賬號，攻擊者能夠訪問內部公司網路以進行資料盜竊或勒索軟體攻擊。這些密碼通常是透過網路釣魚攻擊或使用者將密碼儲存在不安全的應用程式（如文書處理器、文字編輯器和電子表格）中獲得。甚至在某些情況下，在網路釣魚登入表單中輸入了密碼，即使沒有提交，也會被攻擊者成功竊取。

雖然在Windows 11 22H2中預設啟用網路釣魚防護，但保護密碼的選項需要手動開啟。使用者需要在開始>設定>隱私和安全> Windows 安全>應用和瀏覽器控制 > 基於信譽的保護中進行設定，這時使用者將看到分別標有“警告我密碼重用”和“警告我密碼儲存不安全”兩種選項，都啟用後，當使用者在一個網站上輸入Windows密碼時，會提示“密碼重用”的警告，無論它是一個釣魚網站還是一個合法網站；而當使用者在記事本、寫字板和Microsoft Office 等應用程式中輸入密碼並按Enter鍵時，會提示"密碼儲存不安全 "的警告。

借悼念伊麗莎白二世女王之名，攻擊者發起大規模網路釣魚攻擊

9月8日，英國傳奇女王伊麗莎白二世在蘇格蘭巴爾莫勒爾城堡去世，享年96歲。2015年，她成為歷史上在位時間最長的英國君主，打破了她的曾曾祖母維多利亞女王創下的紀錄。

就在大家哀悼女王之際，Proofpoint安全研究人員卻發現，毫無底線的攻擊者假借悼念之名，行網路攻擊之實，以“女王去世”、“哀悼女王”等為誘餌的網路釣魚攻擊呈現持續上升的趨勢，其目的是從受害者那裡竊取 Microsoft 帳戶和密碼。

攻擊者實施網路釣魚攻擊的具體做法是，向使用者傳送一封帶有惡意連結的電子郵件，郵件以 Microsoft團隊的名義發出，大意是微軟現正在推出一款名為“伊麗莎白將記憶板”的產品，以此緬懷這位傳奇女王。在這裡將匯聚來自全球的各種悼念資訊，包括單詞、郵件、相片等。如果使用者也想參與悼念活動，點選連結登入微軟賬戶即可。

很明顯，這是一個虛假惡意的釣魚連結，重定向的域名並沒有讓使用者提交悼念文字，而是忽悠受害者先輸入其微軟賬號的登入面、以及多因素身份驗證（MFA）等私密資訊。一旦這些敏感的資訊被攻擊者獲取，勢必會對使用者帶來嚴重的影響，甚至是以使用者之名進行二次網路釣魚攻擊。

數萬人正在 YouTube 上被假蘋果直播間騙錢

9月 8 日訊息，今日凌晨，蘋果 iPhone 14 / Pro 及多款配件在新品釋出會上亮相。正當數碼愛好者們的目光集中到蘋果的直播間時，卻有數萬人被其他假的蘋果直播間忽悠了過去。

據 The Verge 報導，今日凌晨，YouTube 上有人在直播對蘋果 CEO 蒂姆・庫克的舊採訪，該採訪似乎被用來吸引人們參與加密貨幣騙局。

報導稱，這些直播透過在標題和描述中使用一系列蘋果關鍵字來引起關注，比如“蘋果釋出會直播，庫克：2022 年的蘋果和元宇宙”。但是當你真正開啟它時，直播間卻充滿了奇怪的資訊，並連結到一個看起來很陰暗的加密貨幣網站。