安全資訊報告

電子郵件洩露事件致英國公司損失1.4億英鎊

根據英國國家經濟犯罪中心(NECC)的最新資料，在過去12個月中，報告的商業電子郵件洩露(BEC)事件已達到4600起，給個人和企業造成了1.38億英鎊的損失。

該政府機構正在與國家犯罪署(NCA)、倫敦市警察局、銀行集團英國金融和欺詐預防非營利組織Cifas合作開展一項新活動，以提高對犯罪的認識，也稱為“強制欺詐”或“付款”。

它聲稱這4600起案件的平均損失金額為30,000英鎊，犯罪分子通常會冒充他人並建立或修改發票以欺騙受害者將資金轉移到他們控制的賬戶中。

NECC聲稱欺詐高峰通常發生在3月和11月，恰逢財政年度結束。

據FBI稱，BEC是過去兩年中收入最高的網路犯罪型別。根據聯邦調查局的年度網際網路犯罪報告，去年受害者因報告的大約19,300起事件而損失近19億美元。在此期間網路犯罪造成的42億美元損失總額中，這幾乎佔了一半。

需要注意的BEC跡象包括緊急轉賬請求、供應商的新付款細節以及發件人電子郵件中使用的拼寫錯誤或不一致的語言。

新聞來源： 

https://www.infosecurity-magazine.com/news/bec-costs-uk-firms-140m-past-year/

伊朗的網路攻擊使全國各地的加油站癱瘓

伊朗的一次網路攻擊導致全國各地的加油站癱瘓，燃料銷售中斷，電子廣告牌被汙損以顯示挑戰該政權分配汽油能力的資訊。

社交媒體上流傳的帖子和影片顯示，“哈梅內伊！我們的汽油呢？”提及該國最高領導人阿亞圖拉阿里哈梅內伊。據半官方伊朗學生通訊社（ISNA）報導，其他標誌上寫著“Jamaran加油站的免費汽油”，當試圖購買燃料時，加油泵上會顯示“網路攻擊64411”字樣。

伊朗最高網路空間委員會主席阿博哈桑·菲魯扎巴迪(Abolhassan Firouzabadi)表示，這些攻擊“很可能”是由國家支援的，但補充說現在確定是哪個國家進行了入侵還為時過早。

儘管到目前為止還沒有國家或組織聲稱對此事件負責，但這次襲擊標誌著數字廣告牌第二次被更改以顯示類似的資訊。

新聞來源： 

https://thehackernews.com/2021/10/cyber-attack-in-iran-reportedly.html

三大舉措落實關鍵資訊基礎設施安全保護

沒有網路安全就沒有國家安全，沒有資訊化就沒有現代化。黨中央、國務院高度重視關鍵資訊基礎設施安全保護工作，為進一步健全關鍵資訊基礎設施安全保護制度體系，制定出臺了《關鍵資訊基礎設施安全保護條例》（以下簡稱《條例》）。

公安部網路安全保衛局一級巡視員、副局長、總工程師郭啟全指出，堅持“問題導向、實戰引領、體系化防禦”原則，守住關鍵，保住要害，指導監督關鍵資訊基礎設施安全保護工作，會同有關部門建立關鍵資訊基礎設施安全保護制度體系，指導監督運營者在網路安全等級保護制度基礎上落實《條例》，切實維護關鍵資訊基礎設施安全。

公安機關在建立並實施關鍵資訊基礎設施安全保護制度等方面的下一步重點工作：

第一，公安機關組織認定關鍵資訊基礎設施。

• 制定規則

指導重要行業和領域的保護工作部門，制定本行業、本領域關鍵資訊基礎設施認定規則，並報公安部備案；

• 識別認定

指導運營者與保護工作部門配合，圍繞關鍵資訊基礎設施承載的關鍵業務，開展業務依賴性識別、關鍵資產識別、風險識別等活動，確定關鍵資訊基礎設施；

• 突出重點

將符合認定條件的基礎網路、大型專網、核心業務系統、雲平臺、大資料平臺、物聯網、新型網際網路等重點保護物件納入關鍵資訊基礎設施；

• 確定並報告

保護工作部門根據認定規則組織認定本行業、本領域關鍵資訊基礎設施，及時將認定結果通知相關運營者並報公安部；

• 動態調整

關鍵資訊基礎設施清單實行動態調整機制，調整結果報公安部。

第二，公安機關組織運營者開展關鍵資訊基礎設施安全保護。

• 採取加強型保護措施

立足應對大規模網路攻擊威脅，在落實網路安全等級保護制度和國家標準、滿足“合規性”保護要求基礎上，採取加強型特殊型保護措施，大力提升風險識別能力、抗攻擊能力、可恢復能力，確保關鍵基礎設施穩定執行。

• 以保護關鍵業務和執行安全為重點，變單點防護為整體防控

對業務所涉及的一個或多個網路和資訊系統進行體系化安全設計，構建關鍵資訊基礎設施整體安全防控體系。

• 以風險管理為導向，變靜態防護為動態防護

根據安全威脅態勢變化，動態調整監測和安全控制措施，形成動態的安全防護機制，增強保護彈性，有效應對安全風險威脅。

• 以資訊共享為基礎，變單一防護為聯防聯控

建立與國家網路安全監管部門、保護工作部門以及其他相關部門的資訊共享、協調配合、共同防護機制，提升應對大規模網路攻擊能力。

• 以可信計算等核心技術為支撐，變被動防護為主動防禦

基於可信計算、人工智慧、大資料分析、密碼等核心技術，構建安全防護框架，結合威脅情報、態勢感知，及時發現和處置未知威脅，提高內生安全和主動免疫能力、主動防禦能力。

• 以域間隔離為手段，變單層防護為縱深防禦

網路實行分割槽分域管理，區域間進行安全隔離和認證；實行事前監測，事中遏制及阻斷，事後跟蹤及恢復，實現層層阻擊、縱深防禦。

• 以核心資產資料為重點，變粗放防護為精準防護

基於資產的自動化管理，協同威脅情報，檢測未知威脅、異常行為等，實現對核心資產的精準防護，確保大資料、神經中樞系統安全。

• 落實物理設施保護和電力電信保障措施

保護機房、大資料中心、雲平臺等物理設施安全，嚴防地震、洪災等破壞，保障網路執行正常、資料免遭破壞。

• 與公安機關密切配合，建立網路安全聯合作戰機制，打整體仗、合成仗。

• 依託“網路空間地理學”實驗室，開展理論研究和技術攻關，研究網路空間智慧認知、資產測繪、視覺化表達等核心技術，支撐實戰。

• 加強保密管理

在建設、運維、採購產品和服務、招投標等方面，應加強保密管理，堅決杜絕在招投標等活動中，洩露關鍵資訊基礎設施秘密。

第三，公安機關大力加強關鍵資訊基礎設施的安全保衛。

• 加強網路安全威脅情報體系建設，組織力量開展威脅情報工作。

• 建設網路安全保護平臺和態勢感知系統，建設平臺智慧大腦，繪製網路地圖，實現“掛圖作戰”。

• 圍繞網路攻擊入侵、滲透控制、竊密等破壞活動，嚴密防範、嚴厲打擊危害關鍵資訊基礎設施的違法犯罪活動。

• 充分發揮國家網路與資訊保安資訊通報機制作用，構建完善內外協同配合、上下協調聯動的全天候全方位網路安全監測預警體系，大力開展網路安全實時監測、通報預警、應急處置等工作，為運營者提供重要保障。

• 對不履行網路安全法定責任義務的單位和個人，加強行政執法力度；建立網路安全重大風險隱患掛牌督辦制度，對網路安全問題突出、風險隱患嚴重的單位和部門進行掛牌督辦。

• 針對供應鏈安全、郵件系統安全、網站安全、資料安全、網際網路企業網路安全、新技術新應用網路安全等方面存在的突出問題，適時組織開展專項整治行動。

新聞來源： 

https://www.chinanews.com/gn/2021/10-26/9595646.shtml

英國情報機構主管：勒索軟體激增的原因是沒有協調一致阻止其獲取利潤

英國訊號情報機構GCHQ主管傑里米·弗萊明爵士(SirJeremy Fleming)表示，如果想知道為什麼勒索軟體近年來激增，那是因為直到最近它才受到挑戰。

“我們今年在英國看到的“勒索軟體”攻擊是去年的兩倍，但它激增的原因是因為它有效，”弗萊明在美國密碼簡報威脅會議上說。犯罪分子從中賺了很多錢，並且經常覺得這在很大程度上是無可爭議的......我們必須弄清楚這意味著什麼，直到最近我們才離開了很多這個遊戲空間那些犯罪分子實際上會擴散並賺很多錢。

上個月，英國成立了國家網路部隊(NCF)，這是一個具有進攻能力的組織，將來自國防部(MoD)、GCHQ、秘密情報局(MI6)和國防科技實驗室(DSTL)的人員聯合起來。

弗萊明說：“我認為，過度軍事化是非常危險的，對我在池塘兩邊的所有軍事同事給予應有的尊重。”然而，他補充說：“幾十年來，這一直是GCHQ使命的一部分，我們需要我們的政策制定者，在使命的某些方面，我們的軍事領導人能夠發揮網路能力。”

弗萊明建議，解決勒索軟體利潤的方法是透過監管和控制加密貨幣。

“我可以看到美國方面的政策辯論，我看到這裡的政策辯論，你很快就會了解犯罪分子的獲利方式——你很快就會涉足加密貨幣以及它們是如何受到監管和控制的，”他說。

雖然大多數國家都支援破壞勒索軟體運營商和整體商業模式的想法，但有些國家已經制定了政策，為關鍵基礎設施的勒索軟體攻擊提供了例外。

新聞來源： 

https://www.zdnet.com/article/ransomware-has-proliferated-because-its-largely-uncontested-says-gchq-boss/

我國已組織制訂網路安全國家標準332項

第三屆全國資訊保安標準化技術委員會第一次全體會議日前在京召開。成立於2002年的全國資訊保安標準化技術委員會，已組織制訂網路安全國家標準332項。

中央宣傳部副部長、中央網信辦主任莊榮文表示，做好新時代網路安全標準化工作，是推進網路強國建設的重要支撐，是提升網路空間國際話語權和影響力的重要途徑。

莊榮文說，面對新形勢新任務新要求，要堅持問題導向，積極推動標準化工作創新發展；踐行為民宗旨，努力讓人民群眾有更多獲得感、幸福感、安全感；強化依法治網，加快推動網信領域法律法規落地落實；擴充全球視野，積極參與網路空間國際標準規則制定。

市場監管總局局長張工表示，要深刻認識加強網路安全標準化工作對統籌發展和安全、做強做優做大數字經濟、構建網路空間命運共同體的重要戰略意義，積極推動網路安全標準化工作開創新局面。

據悉，會議宣讀了第三屆全國資訊保安標準化技術委員會換屆及委員組成方案，審議了第三屆信安標委章程、標準制修訂工作程式、技術檔案制訂工作程式等檔案。

新聞來源： 

http://www.chinanews.com/gn/2021/10-27/9596329.shtml

“粵盾-2021”網路安全攻防演練閉幕

10月25日下午，為期一週的“粵盾-2021”廣東省數字政府網路安全攻防演練活動在廣州閉幕。

據介紹，“粵盾-2021”廣東省數字政府網路安全攻防演練以“聚焦資料安全護航數字發展”為主題，是覆蓋廣東省政府系統全領域的特大規模實網攻防演練。為確保演練始終圍繞實戰，全方面服務保障實際工作，督促形成更高效精準的資料安全防護解決機制，本次演練還將水務、燃氣、電力、交通出行、衛生防疫等公共服務領域部分資訊系統納入演練範圍。

演練活動發現並及時清除全省電子政務系統32類982個網路安全隱患，涉及近3300多萬條個人隱私資料，上億條企業、政務業務相關資料，有效排除了499臺伺服器、網路裝置、安全裝置等網路安全風險，向各地各部門傳送81份安全通報。

透過實戰演練，廣東省線上政務和公共服務系統的安全防護能力得到整體提升，人民群眾使用線上政務和公共服務時，能夠得到更為有效的資料安全保障。

新聞來源： 

https://www.sohu.com/a/497351667_120091004

新加坡的電子商務網路釣魚詐騙使受害者損失至少764,000新元

新加坡警方週二（10月26日）警告稱，涉及詐騙者冒充電子商務市場工作人員的電子郵件、簡訊和電話的網路釣魚詐騙案件呈上升趨勢。

警方在一份宣告中說，9月份至少有764,000新元（235萬令吉）被非銀行相關的網路釣魚詐騙損失。

此類詐騙的受害者通常會接到冒充電子商務市場工作人員的詐騙者的電話，聲稱在他們的購買中發現了受害者的賬戶問題或付款差異。

詐騙者以幫助解決問題為藉口，誘騙受害者提供信用卡或簽帳金融卡詳細資訊以及一次性密碼(OTP)。

只有當受害者使用信用卡或簽帳金融卡發現未經授權的交易時，他們才會意識到自己被騙了。

警方建議市民採取以下措施預防此類罪行：

• 不要透過電話向未知來電者提供您的個人資訊，包括財務資料。

• 始終透過官方網站或官方來源驗證任何資訊的真實性。

• 切勿向任何人透露您的個人或網上銀行詳細資訊和OTP。

• 向您的銀行報告任何欺詐性信用卡或簽帳金融卡費用並立即登出您的卡。

新聞來源： 

https://www.thestar.com.my/tech/tech-news/2021/10/27/e-commerce-phishing-scams-in-spore-cost-victims-at-least-s764000-rm235mil

微軟：密碼噴射攻擊呈上升趨勢

最近，微軟觀察到一個新興的伊朗駭客組織對在波斯灣運營的以色列和美國關鍵基礎設施目標使用密碼噴射。

微軟估計，超過三分之一的帳戶洩露是密碼噴射攻擊，儘管此類攻擊對帳戶的成功率為1%，除非組織使用微軟的“密碼保護”來避免錯誤密碼。

微軟去年解釋說：“他們不是針對一個使用者嘗試多個密碼，而是透過嘗試多個使用者針對一個密碼嘗試破解鎖定和檢測。”這種方法有助於避免速率限制，因為太多失敗的密碼嘗試會導致鎖定。

Microsoft的檢測和響應小組(DART)概述了兩種主要的密碼噴射技術，其中第一種技術稱為“低速和慢速”。在這裡，一個堅定的攻擊者部署了一個複雜的密碼噴霧，使用“幾個單獨的IP地址以有限數量的策劃密碼猜測同時攻擊多個帳戶”。

另一種技術，“可用性和重用”，利用先前在暗網上釋出和出售的已洩露憑證。微軟解釋說：“攻擊者可以利用這種策略，也稱為‘憑據填充’，輕鬆獲得進入，因為它依賴於人們跨站點重複使用密碼和使用者名稱。”

“最近，DART發現成為密碼噴射攻擊目標的雲管理員帳戶有所增加，”微軟指出。

在為安全管理員、Exchange服務管理員、全域性管理員、條件訪問管理員、SharePoint管理員、服務檯管理員、計費管理員、使用者管理員、身份驗證管理員和公司管理員等角色配置安全控制時，還應格外小心。微軟表示，諸如C級高管或有權訪問敏感資料的特定角色等引人注目的身份也是受歡迎的目標。

新聞來源：

https://www.zdnet.com/article/microsoft-warns-over-uptick-in-password-spraying-attacks/

Babuk勒索軟體的完整原始碼洩露

一名勒索軟體攻擊參與者在俄語駭客論壇上洩露了Babuk勒索軟體的完整原始碼。

BabukLocker，內部也稱為Babyk，是一種勒索軟體操作，於2021年初啟動，當時它開始針對企業在雙重勒索攻擊中竊取和加密他們的資料。

在襲擊華盛頓特區的大都會警察局(MPD)並感受到美國執法部門的壓力後，勒索軟體團伙聲稱已關閉其業務。但同一組的成員分裂了，另一些成員重新啟動勒索軟體BabukV2，直到今天他們繼續加密受害者的資料。

正如安全研究小組vx-underground首次注意到的那樣，Babuk小組的一名據稱成員在一個流行的俄語駭客論壇上釋出了他們勒索軟體的完整原始碼。這名成員聲稱自己患有晚期癌症，並決定在他們必須“像人一樣生活”的同時釋出原始碼。共享檔案包含適用於VMware ESXi、NAS和Windows加密器的不同Visual Studio Babuk勒索軟體專案。

EmsisoftCTO和勒索軟體專家Fabian Wosar以及McAfee Enterprise的研究人員都告訴BleepingComputer，洩漏似乎是合法的。Wosar還表示，洩漏可能包含過去受害者的解密金鑰。Babuk勒索軟體使用橢圓曲線加密(ECC)作為其加密程式的一部分。洩漏中包括包含為勒索軟體團伙的特定受害者編譯的加密器和解密器的資料夾。

新聞來源：

https://www.bleepingcomputer.com/news/security/babuk-ransomwares-full-source-code-leaked-on-hacker-forum/

安全漏洞威脅

CISA：Discourse存在遠端程式碼執行漏洞

CISA在週日發出的通知中敦促開發人員更新Discourse版本2.7.8及更早版本，警告遠端程式碼執行漏洞被標記為“嚴重”，CVSS評分10。

該問題已於週五修復，開發人員解釋說CVE-2021-41163涉及“上游aws-sdk-snsgem中的驗證錯誤”，可能“透過惡意製作的請求導致Discourse中的RCE”。

開發人員指出，要在不更新的情況下解決此問題，“可以在上游代理阻止以/webhooks/aws開頭的路徑的請求。”

這個流行的開源討論平臺每月吸引數百萬使用者，促使CISA發出資訊，敦促推送更新。

研究人員在部落格文章中詳細說明了問題的細節，並將問題報告給了Discourse，後者沒有回應置評請求。

新聞來源： 

https://www.zdnet.com/article/cisa-warns-of-remote-code-execution-vulnerability-with-discourse/