8月业务安全月报 | 多家科技企业遭勒索软件攻击;苹果曝严重漏洞
导语:随着数字化的深入普及,业务愈加开放互联。企业的关键数据、用户信息、基础设施、运营过程等均处于边界模糊且日益开放的环境中,涉及利益流和高附加值的业务面临多样的安全隐患,随时可能遭遇损失,进而影响企业运营和发展。
一方面,业务安全隐患形式多样,在电商、支付、信贷、账户、交互、交易等形态的业务场景中,存在着各类等欺诈行为;另一方面,欺诈行为日益专业化、产业化,且具有团伙性、复杂性、隐蔽性和传染性等特点。
为了让大家更全面的了解业务安全的风险,顶象自7月起将针对每月的业务安全热点事件进行盘点总结。
国内安全热点
1、网传用友等头部软件厂商遭勒索软件攻击,用友回应:仅少数客户受影响,建议升级
8月29日,据国内知名技术社区qidao123.com消息,多个安全技术社吐槽称以用友为代表的头部管理软件厂商遭遇大规模勒索攻击,从而影响到无数下游企业,引发了难以想象的危害,其损失暂时无法估计。
由于病毒模块的投放时间与企业用户升级软件时间相近,因此有安全厂商表示,该勒索攻击事件有可能是黑客通过供应链污染或漏洞的方式进行投毒。简单来说,黑客首先通过漏洞或其他方式向受害者终端投放后门病毒模块,以此执行任意恶意模块(恶意模块数据被AES算法加密),再通过后门模块在内存中加载执行勒索病毒。
据悉,一旦被攻击,用户计算机文件被.locked后缀的勒索病毒加密,攻击者索要0.2个BTC(约合2.7万+人民币)的赎金。
目前受该勒索病毒影响的企业用户数量还在不断增加。根据现有的信息,该勒索病毒与之前流行的TellYouThePass勒索病毒为关联家族,甚至有可能就是TellYouThePass的最新变种。
8月30日,用友旗下专注于小微企业云服务畅捷通T+软件的客户,昨日在社交平台反馈其服务器中招勒索病毒一事。
对此,畅捷通回应称:“目前已安排工程师协助解决,仅少数客户受影响。建议用户升级到畅捷通运营的公有云服务或采用畅云管家等云部署方式。”
友情提醒:可能遭受攻击的企业用户应立即对本地数据进行手动备份和自动备份,一旦不幸中招也可通过备份对数据进行恢复,或者求助于安全厂商,寻找解决方案。
2、《网络安全标准实践指南——健康码防伪技术指南(征求意见稿)》发布
为指导健康码技术提供方提升健康码技术防伪能力,近日,全国信息安全标准化技术委员会秘书处发布了《网络安全标准实践指南——健康码防伪技术指南(征求意见稿)》(以下简称《指南》),面向社会公开征求意见。
《指南》依据有关政策法规要求,做好支撑疫情防控工作,防止健康码伪造安全风险,对健康码防伪提供技术实践参考。当前,现场健康码伪造事件时有发生,特别是违法违规的伪造工具为动态清零工作带来困难,本实践指南围绕现场扫码这一最常见场景,提出技术建议,为提升健康码技术防伪能力、提高整体安全水平提供参考。
《指南》提供方可采用的防伪技术措施包括但不限于:
在扫码后显示的界面中,将被扫码地点所登记的个人身份信息脱敏后突出显示;
在扫码后播报语音时,除正常播报扫码结果、核酸天数等信息外,还播报被扫码地点所登记的个人手机号后三位;
在扫码及自查询后显示的界面中,每天变化显示界面背景的一部分,包括但不限于以下几种方式。扫码情况下,每天的变化应与扫码地点相关,使同一天内在不同地点扫码得到的显示界面可能在存在显著差异。
3、公安部:刷单类电信网络诈骗案持续高发,占全部电诈案四成
8 月 10 日消息,据公安部网站消息,为深入推进夏季治安打击整治“百日行动”,依法严厉打击电信网络诈骗等群众反映强烈的突出违法犯罪,近日,公安部组织指挥广东、河南、湖南等 30 个省区市公安机关同步开展为期一周的集中收网行动,成功打掉一批刷单类电信网络诈骗及提供返利收款、推广引流等服务的黑灰产犯罪团伙,共抓获违法犯罪嫌疑人 1100 余名,缴获手机、电脑等作案工具 3000 余个 (台)。
今年以来,刷单类电信网络诈骗案件持续高发,发案数和资金损失均占全部电信网络诈骗案件的 40%,已成为当前危害最突出的电信网络诈骗类型。公安机关工作中发现,为增强诈骗活动迷惑性、提高引流成功率,犯罪分子不断变换作案手法,引流方式从单一发布兼职广告向利用网络色情、免费领取礼品等多种方式转变,诈骗手法从传统购买商品、点赞返利向“做任务式”刷单、投资理财刷单演变。其中,“做任务式”刷单诈骗最为突出,犯罪分子通常打着“免费做任务得佣金”的幌子,吸引受害人尝试“做任务”,并在前期以小额返利骗取受害人信任,随后逐步诱导受害人下载诈骗 App 进行垫资充值,在受害人提现时以“任务未完成”“卡单”等为由拒不支付受害人本金和佣金,甚至诱骗其追加投入更多资金,最终导致受害人血本无归。
4、1.2万起!国家网信办曝光未成年人电信网络诈骗典型案例
8月8日,据中国网信办消息,今年以来,已处置涉未成年人电信网络诈骗案件1.2万余起。
暑假期间,国家网信办反诈中心监测发现多起针对未成年人的电信网络诈骗事件。不法分子经常以加入“明星粉丝QQ群”为诱饵,声称完成任务可领取礼品或明星签名,诱导未成年人进行转账或刷单;有的宣称免费赠送游戏装备,再通过“激活费、认证费、验证费”骗取未成年人钱财,严重危害未成年人身心健康。
并公布了七起典型案例。
5、工信部通报 47 款侵害用户权益 App 和 SDK
8 月 26 日,工信部发布了《关于侵害用户权益行为的App 通报(2022 年第 5 批,总第 25 批)》。
工信部表示,依据《个人信息保护法》《网络安全法》《电信条例》《电信和互联网用户个人信息保护规定》等法律法规,工信部组织第三方检测机构对群众关注的酒店餐饮类、未成年人应用类等移动互联网应用程序(App)及第三方软件开发工具包(SDK)进行检查,对发现存在侵害用户权益行为的共 227 款 App(SDK)提出整改要求。截至目前,尚有 47 款 App(SDK)未按要求整改,现予以通报。
国外安全热点
1、员工被钓鱼,云通讯巨头Twilio客户数据遭泄露
据Bleeping Computer网站8月8日消息,云通讯巨头Twilio表示,有攻击者利用短信网络钓鱼攻击窃取了员工凭证,并潜入内部系统泄露了部分客户数据。
8月4日,Twilio首次注意到了这些旨在窃取员工凭证的复杂社会工程学攻击。这些攻击者冒充公司内部的IT部门人员,向公司员工发送短信,警告他们的系统密码已经过期,需要通过点击短信附带的URL进行修改。该URL带有“Twilio”、“Okta”和“SSO”等具有高仿真性的字段,受害员工一旦点击便会跳转到一个克隆的 Twilio 登录页面。
当被问及有多少员工的帐户在网络钓鱼攻击中“失陷”,以及有多少客户数据受到泄露影响时,Twilio 的 EMEA 通讯总监 Katherine James 拒绝透露相关信息。Twilio 对外表示,已经与美国的短信供应商取得联系,封闭了发送钓鱼短信的账户。
2、TikTok 被曝 App 内浏览器“监控输入和点击的任何内容”
8 月 21 日消息,据安全研究员 Felix Krause 称,TikTok 在 iOS 上的自定义 App 内浏览器将 JavaScript 代码注入外部网站,允许 TikTok 在用户与给定网站交互时监控“所有键盘输入和点击”,但据报道 TikTok 公司否认了该代码被用于恶意行为。
Krause 表示,当用户与外部网站交互时,TikTok App 内浏览器会“订阅”所有键盘输入,包括密码和信用卡信息等任何敏感细节,以及屏幕上的每次点击。
“从技术角度来看,这相当于在第三方网站上安装键盘记录器,”Krause 在谈到 TikTok 注入的 JavaScript 代码时写道。然而,研究人员补充说,“仅仅是应用将 JavaScript 注入外部网站,但并不意味着该应用正在做任何恶意的事情。”
在与福布斯分享的一份声明中,TikTok 发言人承认了有问题的 JavaScript 代码,但表示它仅用于调试、故障排除和性能监控,以确保“最佳用户体验”。
“与其他平台一样,我们使用 App 内浏览器来提供最佳用户体验,但所讨论的 Javascript 代码仅用于调试、故障排除和性能监控 —— 例如检查页面加载速度或是否崩溃。”
3、针对微软企业电子邮件服务,大规模网络钓鱼攻击来袭
近期,来自ThreatLabz的安全研究人员发现了一批大规模的网络钓鱼活动,该活动使用中间人攻击 (AiTM) 技术以及多种规避策略。
据分析,这些网络钓鱼活动和微软发现的活动如出一辙,它们不但使用AiTM绕过多因素身份验证 (MFA),还在攻击的各个阶段使用了多种规避技术,旨在绕过典型的电子邮件安全和网络安全解决方案。
ThreatLabz认为该活动是专门为使用微软电子邮件服务的企业而设计的。“商业电子邮件泄露 (BEC) 对企业来说仍是一个威胁,此次活动进一步强调了防范此类攻击的必要性。”
ThreatLabz表示,这些网络钓鱼攻击第一步就是向受害者发送带有恶意链接的电子邮件,威胁参与者几乎每天都在注册新的网络钓鱼域名,并且大多数目标企业是金融科技、贷款、金融、保险、会计、能源和联邦信用合作社行业等行业。而且多数目标企业位于美国、英国、新西兰和澳大利亚。
4、新钓鱼平台Robin Banks出现,多国知名金融组织遭针对
近期出现了一个名为 "Robin Banks "的新型网络钓鱼服务(PhaaS)平台,提供现成的网络钓鱼工具包,目标是知名银行和在线服务的客户。该钓鱼平台的目标包括了花旗银行、美国银行、Capital One、Wells Fargo、PNC、美国银行、劳埃德银行、澳大利亚联邦银行和桑坦德银行等各国知名金融机构。
此外,Robin Banks还提供了窃取微软、谷歌、Netflix和T-Mobile账户的模板。根据IronNet的相关报告显示,Robin Banks已经被部署在6月中旬开始的大规模钓鱼攻击活动中就已经出现了Robin Banks的身影,其通过短信和电子邮件针对受害者进行钓鱼攻击。
5、2021年,身份欺诈案例创下新记录
根据身份盗用资源中心 (ITRC) 的数据,谷歌语音诈骗在 2021 年的身份相关欺诈案例中创下新纪录。
据统计,2021年共计收到14,947份来自消费者的报告,比2020年增加了26%,是有史以来处理的最多的一次。
其中一半(50%)是诈骗受害者:也就是说,他们与攻击者共享个人身份信息(PII)。超过一半(53%)的这一组包括谷歌语音诈骗,是今年最流行的欺诈类型。
欺诈者通常会寻找在网上销售商品的受害者。他们会向受害者发送一个谷歌验证码,并要求受害者分享该代码——表面上是为了验证他们是“真正的”卖家。
事实上,如果受害者这样做,他们的电话号码将被链接到一个新创建的欺诈性谷歌语音帐户,该帐户将被用于诈骗他人。
在其他地方,ITRC记录的“身份滥用”事件增加了8%,总数达到4168起。其中五分之二(40%)与金融账户滥用有关,其中大多数与新账户欺诈(64%)有关,其余与账户接管(36%)有关。
6、苹果安全漏洞登上热搜第一 涉及iPhone、iMac等
据美联社20日报道,美国苹果公司当地时间本周三发布两份安全报告,两份报告披露,公司旗下智能手机iPhone、平板电脑iPad和iMac电脑等产品存在严重安全漏洞。
这些漏洞可能会让潜在的攻击者入侵用户设备、获得管理权限甚至完全控制设备并运行其中的应用软件。
值得一提的是,8 月17、18 日,苹果发布多个安全性更新,随后还建议用户尽快更新所有设备上的系统,以修补周三公布的漏洞,目前苹果安全漏洞已经修复,安全专家也呼吁苹果用户立即下载更新。
据介绍,受本次漏洞影响的设备涵盖了几乎所有的苹果产品。其中,手机包括iPhone 6S及以后的型号;平板包括第五代及以后的iPad,所有iPad Pro,以及iPad Air 2;电脑则是运行MacOS Monterey的Mac。此外,该漏洞还能影响