【安全帮】微软如何查获内部泄密者：套路让人防不胜防

30 国 4 万用户的政府服务登录凭证被盗 4万多名钓鱼攻击受害者政府服务的在线账户被盗，且这些信息可能已被在暗网黑客论坛上出售。Group-IB 公司的研究员发现这些登录数据可以访问全球30个国家的服务。该公司表示这些受攻陷凭证是研究人员通过检测和逆向工程恶意软件以及数字取证数据发现的。超过一半的受害者来自意大利 (52%)，其次为沙特阿拉伯 (22%) 和葡萄牙 (5%)。其它国家的政府网站用户也受影响。

参考来源：

http://codesafe.cn/index.php?r=news/detail&id=4609

微软如何查获内部泄密者：套路让人防不胜防 厂商对于查找这种泄密的源头都有自己的一套办法，有时候你明明看不出自己发到网上的画面有什么身份信息，但厂商单单还就能锁定泄密者的身份。业界巨头微软在这方面还真有自己的一套办法，时过境迁，微软员工如今把当初控制Xbox 360的新Xbox体验（NXE）UI内部beta测试不被外泄的方式公布了出来。推特用户@cullend近日发文表示，当初他在微软最得意的一个项目就是把Xbox 360的序列号与画面右下角Xbox logo处的水波纹相对应，这样将UI放上网的人自然就泄露了自己的主机信息。不过，在NXE的beta测试成功之后，推出的正式版升级中并不包含这个身份认证。微软随后也澄清，这种方式只用来保证内部测试阶段不被违反保密协议的人泄露出去。

参考来源：

https://hot.cnbeta.com/articles/game/798963

罗技 Options 被曝漏洞可招致按键注入攻击，官方发新版软件修复 Logitech Options是罗技官方推出的一款软件，用户可以使用它对罗技鼠标、键盘和触摸板进行自定义。据Threat Post报道，今年9月，谷歌Project Zero的安全研究员Tavis Ormandy发现了这款软件上的一个漏洞，可以招致按键注入攻击。由于罗技没有照惯例在三个月内对此漏洞进行修复，谷歌Project Zero团队在12月11日公开披露了此漏洞。两天后，罗技官方表示新发布的7.00版软件已经对相关漏洞进行了修复。据报道，攻击者可以通过流氓网站向Options应用程序发送一系列命令，更改用户的设置。此外，攻击者还可以通过更改一些简单的配置设置，来发送任意击键命令，从而获得访问所有信息的方式，甚至接管目标设备。进一步来说，只要用户的电脑处于打开状态，同时这一应用保持在后台运行，理论上攻击者几乎能发起连续访问。

参考来源：

https://www.ithome.com/0/400/704.htm

涉隐私问题 亚马逊申请面部识别门铃专利遭强烈抵制 亚马逊最新的门铃专利申请遭遇强烈抵制。该专利申请设想使用门铃相机和面部识别技术的组合来构建一个系统，该系统可用于将出现在您门口的人的图像与“可疑人员”数据库相匹配。如果系统在数据库中找到匹配项，系统甚至会提取有关该人的信息。房主也可以上传他们认为可疑的人的照片。这种噩梦般的概念是由一家名为Ring的摄像机门铃公司提出的，该公司在今年被电子商务巨头亚马逊收购。这种设计能够识别路人的样貌而且能够将他们的照片发送给执法机关，但是它却引发了美国民权同盟（ACLU）的指责。亚马逊的这种设计引发了人们的强烈抗议，其中就包含了亚马逊自己的员工和股东，还有全部的黑人国会议员。

参考来源：

http://finance.jrj.com.cn/tech/2018/12/17085726752295.shtml

比特币勒索卷土重来，罪犯敲诈了 4 个国家，入账不到 1 美元 据多家外媒报道，12 月 13 日下午开始，美国、加拿大、澳大利亚等英语语言国家的数十家公司、学校、银行、政府部门和媒体机构都收到了「炸弹威胁」的电子邮件。网络安全研究员 Troy Mursch 表示，收到威胁的电邮很可能是从数据库或暗网中用不正当手段获取到的。而且罪犯的方式也很愚蠢，大规模群发要求比特币支付，这很容易就让收到邮件的人当作是垃圾邮件恶意骗局。截止美东时间 12 月 14 日下午，只有两笔加起来不到 1 美元的存款打向了勒索账户。但从加州到多伦多，在工作日的大学、公司、政府部门、执法部门中突然「引爆」的这股炸弹恐慌也扰乱了整个城市的日常运转。

参考来源：

https://www.cnbeta.com/articles/tech/799299.htm

  2018 百大 “ 最烂密码 ” 出炉 ，123456 五年蝉联第一

美国安全软件公司飞溅数据(SplashData)公布了2018年百大“最烂密码”，数字组合“123456”连续五年蝉联第一，排名第二的则是“password”(密码)。其他依次是123456789、12345678、12345、111111、1234567、sunshine(阳光)、qwerty(键盘第一行从左起6个字母)，以及iloveyou(我爱你)。另外有意思的是，美国总统特朗普的名字“donald”(唐纳德)今年首次加入了这一榜单，排名第23。

参考来源：

http://hqtime.huanqiu.com/article/a-XDJBCW36E53DB1C4C70461

  双重认证并非 100% 安全：新技术证实可成功入侵 Gmail 账号 安全专家上周四表示，近期针对美国政府官员、活动家和记者的网络钓鱼活动日益猖獗，并且利用技术手段绕过了被Gmail和Yahoo Mail广泛使用的双因素认证保护系统（2FA）。此次钓鱼攻击事件再次表明依赖单次登陆或者一次性密码的2FA同样存在风险，尤其是通过SMS短信发送至用户手机的情况。安全公司Certfa Lab的研究人员在一篇博客文章中表示，有伊朗政府背景的黑客攻击者收集了攻击目标的详细信息，并利用了这些信息撰写了针对这些目标的钓鱼网络邮件。这些邮件中包含一张隐藏照片，在攻击目标浏览该信息的时候就会自动激活。研究人员称，攻击者会在自己的服务器上实时检查受害者的用户名称和密码。而且即使启用了例如短信、认证APP或者一键式登陆的双因素认证，仍然能够欺骗目标并窃取这些信息。” 参考来源：

http://hackernews.cc/archives/24627

关于安全帮®

安全帮®，是中国电信北京研究院旗下安全团队，致力于成为“SaaS安全服务领导者”。目前拥有“1+4”产品体系：一个SaaS电商(www.anquanbang.vip) 、四个平台（SDS软件定义安全平台、安全能力开放平台、安全大数据平台、安全态势感知平台）。