普普安全资讯一周概览(1106-1112)

作者:

时间:
2021-11-12


卡巴斯基Amazon SES令牌被不法分子盗用


11月1日,卡巴斯基表示,最近针对Office 365 用户的鱼叉式网络钓鱼活动,系不法分子盗用其Amazon SES令牌所致。从攻击者使用的Iamtheboss和IRCBOOT两个网络钓鱼工具包来看,卡巴斯基安全专家认为本次钓鱼攻击者的企图很明显。

攻击者没有试图冒充卡巴斯基,而是使用卡巴斯基官方电子邮箱,将网络钓鱼邮件伪装成过时的“传真通知”发送给潜在受害者,之后引诱用户访问虚假网站来收集Microsoft 在线服务的授权证书。

Amazon SES是亚马逊推出的一种可扩展电子邮件服务,开发人员能够从任何应用程序中发送电子邮件,满足包括营销和群发电子邮件在内的各种邮件发送需求。钓鱼者正是利用了这点,从亚马逊网络服务终端发送电子邮件,轻松绕过大多数安全电子邮件网关(SEG)到达目标邮箱,通过更换不同的发件人地址,达到大规模发送钓鱼邮件的目的。在发现这些钓鱼攻击后,SES令牌随即被撤销,因此2050.earth网站及相关服务器并未受损,也没发现未经授权的数据库访问及其他恶意活动。

普普点评





为规避鱼叉式网络钓鱼活动频频出现,用户数据遭到窃取,用户需要注意类似的鱼叉式网络钓鱼邮件,不要轻易的回复沟通,通过电子邮件标题查看发件人身份的详细信息。尤其在被要求提供授权证书及其他敏感信息时,即使发件人是熟悉的品牌方也不要掉以轻心。


2.

删除十亿人脸数据 Facebook关闭人脸识别系统

1月2日,Facebook官方发布了一则新闻,称他们将在未来几周内关闭社交平台Facebook上的人脸识别系统,并删除超过10亿人的个人面部识别模板,这项决定是全公海710限制在产品中使用人脸识别的举措之一。

按照Facebook的说法,目前有超过三分之一的该平台用户选择使用人脸识别功能,这项功能使得人们可以在他人发布的照片或视频中出现自己时获得通知,并可为用户标识照片或视频中的人物身份。不久这些人将不再能在照片和视频中自动识别,而他们的人脸识别数据也将被删除。

Facebook称,尽管做出了这样的决定,但他们仍将人脸识别技术视为一种强大的工具。如他们的Automatic Alt Text(AAT)系统就是一个很好的正面例子,AAT使用先进的AI为盲人和视觉障碍人士生成图像描述,人脸识别系统可帮助AAT告诉视障人士是他们的哪位熟人在照片中。而在身份验证这方面,人脸识别技术更是可以有效减少欺诈和冒名顶替。

普普点评





使用面部识别技术时的种族偏见是一个令人担忧的问题。多年来,研究人员和隐私专业人士一直在对这项技术提出质疑,他们援引的研究发现,在涉及种族、性别或年龄界限的情况下,这项技术发挥的作用并不稳定。面部识别技术近年来有所进步,有越来越多的执法机构也在使用,这促使隐私专家呼吁对其进行监管。

3.

浅谈钓鱼网站

众所周知,Web是互联网中分布全球的应用服务,可以边界的传输信息。但是于此同时,互联网也出现了许多虚假的Web网站,用于非法获取互联网用户信息,钓鱼网站就是其中的一种。“钓鱼网站”的页面与真实网站界面基本一致,欺骗消费者或者窃取访问者提交的账号和密码信息。在用户浏览的网页中利用弹出窗或悬浮窗的方式发布通知;通过在中小网站甚至搜索引擎中投放广告等手段吸引用户点击进入钓鱼网站。

黑客总会通过一些办法来伪装发送的内容,来迷惑用户的判断。通常抓住一些人的好奇心或贪欲,利用社会工程学的方法诱使上网用户访问钓鱼网站。钓鱼网站是互联网中最常碰到的一种诈骗方式,通常伪装成银行及电子商务、窃取用户提交的银行账号、密码等私密信息的网站。

警惕性不高的用户都是在无意之间访问到钓鱼网站的,因此当发现自己的利益受损后,往往无法回忆起这些关键信息是如何泄露出去的,这对相关事件的处理带来了很大困难。

普普点评





钓鱼网站技术门槛不高,制作简单,向我利用kali工具能够很容易制作出钓鱼网站。一定要提高防范意识,每年都有被骗、被获取信息的,其实钓鱼网站能盛行的根本原因是因为利用人的好奇心或贪欲,我们需要养成良好的上网习惯,树立正确的观念,共同建立良好的网络环境。

4.

40%的SaaS资产面临数据泄露风险

DoControl最近发布的报告显示,当今企业中存在大量无法管理的数据导致外部和内部威胁数量不断增加,尤其是大量SaaS数据暴露。所有SaaS资产中,有40%无人管理,作为公共数据可供内部和外部访问。

据Gartner称,从2019年到2022年,全球SaaS收入将增长近38%,超过1400亿美元。尽管基于云的应用程序极大地提高了整个企业的效率和生产力,但CIO和CISO往往低估了一个重大威胁——SaaS提供商未经检查和不受管理的数据访问。

在报告调查的公海710中,平均每个企业有400个加密密钥被内部共享给任何获得链接的人;为基准,人员规模平均1,000人的公海710在SaaS应用程序中存储50万到1000万个资产。允许公开共享的公海710资产多达20万项。报告指出:“过去一年,疫情迫使许多企业与更多第三方合作,并调整其现有员工队伍以支持远程协作。迄今为止,安全从业者专注于以安全的方式启用SaaS访问,现在是他们优先考虑内部和外部数据访问相关性的时候了。

普普点评





随着SaaS应用程序的日益普及,这种威胁呈指数级增长,使企业面临更大的数据泄露风险。过去一年,疫情迫使许多企业与更多第三方合作,并调整其现有员工队伍以支持远程协作。迄今为止,安全从业者专注于以安全的方式启用SaaS访问,现在是他们优先考虑内部和外部数据访问相关性的时候了。

5.

CISA发布306个已知漏洞目录 命令联邦机构及时修补

近日,美国网络安全与基础设施安全局(CISA)发布了306个被积极利用的漏洞目录,并配套出台了一系列具有强约束力的操作指令,命令美国联邦机构在特定时间范围内及时修补这些漏洞。

CISA命令联邦机构在6个月内修复2021年之前分配的CVE(公共漏洞和暴露出弱点的统称),并在两周内修复其他漏洞。如果发生严重威胁联邦机构安全的事件,这些漏洞修补期限也将随即进行调整。

“恶意行为者每天都在利用已知漏洞攻击联邦机构。作为联邦网络安全运营负责人,我们正发布可操作指令,尽量减少恶意行为者积极利用的漏洞,为联邦网络安全作出自己的努力。”CISA主任Jen Easterly说,“指令明确要求,联邦民事机构应立即采取行动改善其漏洞管理实践,大幅减少联邦机构遭受网络攻击的风险。”

虽然该指令只要求联邦机构立即采取行动,但实际上所有的机构都应该遵从目录进行漏洞修补,因为漏洞并不只威胁联邦机构的网络安全,而是所有机构。

普普点评





网络攻击者通常利用已知漏洞发起各式各样的网络攻击,这给联邦机构带来较大的安全风险。积极修复已知漏洞对保护联邦信息系统、减少安全事件的发生至关重要虽然该指令只要求联邦机构立即采取行动,但实际上所有的机构都应该遵从目录进行漏洞修补,因为漏洞并不只威胁联邦机构的网络安全,而是所有机构。

6.

美国国防承包商频遭攻击 有可能涉及军事泄密

11月5日,据美国国防承包商 Electronic Warfare Associates (EWA) 披露的信息显示,EWA遭到了犯罪分子的网络攻击,公海710的电子邮件系统遭到入侵,包含了个人敏感信息的文件已经泄露,但目前无法确认政府机密文件是否已经泄露。

信息显示,Electronic Warfare Associates (EWA) 是美国通信、访问控制、模拟、培训、管理、测试和监控系统(雷达)高科技国防硬件和软件解决方案的供应商。该公海710的主要客户包括美国国防部、司法部和国土安全部 (DHS),其中很多产品涉及军事机密信息,具有非常高的敏感度。

“根据EWA公海710的调查结果显示,在2021年8月2日,攻击者入侵了EWA电子邮件系统,并试图通过邮件发起网络诈骗等攻击行为。因此,EWA有理由相信,攻击者的目标是网络诈骗,而非窃取个人数据和信息。但是,在这次网络攻击中,还是有一些包含个人信息的文件出现了不可避免的泄露。目前还无法确认,是否窃取了政府机密文件和军事信息。

普普点评





勒索软件主要就是通过垃圾邮件或漏洞利用工具包进行传播感染。很明显,被勒索攻击了的EWA公海710并没有吸取这方面的教训,也未能做好邮件方面的安全防护措施,以至于几个月后再次被不法分子攻击。作为美国国防承包商之一,EWA公海710同一个地方跌倒两次,实在是太不应该了。倘若因此泄露了军事机密信息,那么对于EWA公海710而言将会是一次暴击。

7.

专家发现冒充安全公海710Proofpoint的网络钓鱼活动

近日,有专家发现了一项冒充安全公海710Proofpoint的网络钓鱼活动。钓鱼者冒充网络安全公海710Proofpoint的名义向潜在受害者发送电子邮件。这些钓鱼邮件信息以抵押贷款为诱饵,诱使受害者提供微软Office 365和Gmail的账号密码。?

该电子邮件包含一条由Proofpoint发送的安全文件链接。当有用户实际点击该链接时,页面将自动跳转到Proofpoint品牌启动页,一起显示的还包括多个电子邮件提供商的登录链接。

该钓鱼攻击还包括微软和谷歌的专用登录页面。单击带有 Google 和 Office 365 标识的链接,潜在受害者将被带到精心设计好的 Google 和 Microsoft 网络钓鱼页面,要求用户提供登录账号及密码。

调查发现,网络钓鱼邮件由一个被盗用的私人账户发送,发件人的域名(sdis34[.]fr)是法国南部的消防救援部门。这些钓鱼网页被托管在 'greenleafproperties[.]co[.]uk '域名上,该域名在2021年4月被更新。目前,该网址已重定向到 'cvgproperties[.]co[.]uk'。

普普点评





电子邮件的标题和内容都是为了让受害者产生一种信任感和紧迫感。信任感是因为邮件包含了Proofpoint发送的文件;紧迫感则来源于它包含了抵押贷款和其他家庭相关活动的信息。电子邮件的攻击步骤也在模拟日常生活中已经存在的工作流程,如在线共享文件时收到的电子邮件通知。当人们看到之前看过的电子邮件时,会习惯性快速点开查看。