BUF早餐鋪 | 2018網購欺詐洞察報告出爐:釣魚網站數量增加297%;研究人員提出一種用視訊縮圖將o...
各位 Buffer 早上好,今天是 2018 年 10 月 30 日星期二,農曆九月廿二,天氣轉冷,請各位注意身體健康。今天的早餐鋪內容有:2018網購欺詐洞察報告出爐:釣魚網站數量增加297%;研究人員提出一種用視訊縮圖將office武器化的攻擊方式;X.Org出現bug導致linux和BSD系統可被獲取root許可權;研究人員發現DDoS服務租用平臺;隱私噩夢?谷歌的多倫多超級AI智慧城市遭到質疑。
2018網購欺詐洞察報告出爐:釣魚網站數量增加297%
電子商務防欺詐公司Riskified和網路情報公司IntSights本週三釋出的聯合報告中指出,偽裝成電商網站來收集客戶資訊的冒牌網站數量正在不斷增加。
在對過去一年(去年三季度至今年三季度)的資料進行分析後,兩家公司發現網購釣魚網站數量增加了297%。此外在報告中還指出現在這些釣魚網站製作的越來越精細,看起來和正規購物網站幾乎沒有區別。IntSight執行長Guy Nizan表示:“電商越來越注重通過Facebook、SMS簡訊、Instagram、Twitter等平臺來推廣銷售,這也給欺詐者提供了可乘之機。通過釣魚攻擊這些黑客收集了大量受害者的信用卡資訊,給他們造成了經濟上的損失。”[ ofollow,noindex">cnbeta ]
研究人員提出一種用視訊縮圖將office武器化的攻擊方式
Cymulate安全公司研究人員設計了一種新的技術,可以利用嵌入到視訊中的武器化office文件來達到惡意軟體的效果。
攻擊者使用了嵌入式程式碼執行檔案來開啟Internet explorer download manager,先將html/JavaScript程式碼嵌入在word文件中,通過編輯document.xml檔案將原本視訊連結替換為惡意程式碼,誘使使用者點選相應的視訊縮圖(一般用在YouTube上),使得攻擊者執行嵌入其中的JS程式碼。
當視訊嵌入word文件時,會建立一個HTML指令碼,當用戶點選文件中的縮圖時,便會通過IE執行其中的程式碼。該技術使用於office 2016及之前的版本,目前研究人員已通知了微軟,但微軟並不承認這是一個漏洞。[ securityaffairs ]
X.Org出現bug導致linux和BSD系統可被獲取root許可權
一位印度安全研究人員發現X.Org Server軟體包中存在一個非常嚴重的漏洞,影響到了OpenBSD和大多數版本的Linux系統,包括Debian,Ubuntu,CentOS,Red Hat和Fedora。
Xorg X伺服器通常用來為硬體和作業系統平臺提供圖形環境,是一種客戶端和使用者應用程式之間的中介系統。專家表示,Xorg X伺服器存在無法驗證或處理具有兩個以上命令列的引數,否則會導致低許可權使用者獲取root許可權並能夠執行惡意程式碼並覆蓋任意檔案。
目前該漏洞被編號為CVE-2018-14665,最早在X.Org伺服器1.19.0版本中發現,至今已兩年有餘。[ thehackernews ]
研究人員發現DDoS服務租用平臺
FortiGuard實驗室的安全研究人員發現了一種名為“0x-booter”的新型DDoS租用服務,該服務使用洩露的程式碼構建,打造了一個簡潔明瞭,通俗易懂的使用介面。0x-booter最早在2018年10月17日被發現,其在Facebook上釋出的宣傳貼表示,他們的伺服器具有500Gbps的功率和超過20000個bot。研究人員表示,該服務掛靠在名為Bushido(武士道)的伺服器下。雖然DDoS攻擊服務已經存在了很長時間,但現在的DDoS攻擊則更多的依賴於通過已經受到攻擊的裝置來驅動攻擊。[ securityaffairs ]
隱私噩夢?谷歌的多倫多超級AI智慧城市遭到質疑
谷歌母公司Alphabet旗下創新城市部門Sidewalk Labs目前在資訊隱私問題上陷入了困境。
因為資料信託首席專家和顧問安·卡瓦吉安(Ann Cavoukian)對隱私資料的收集方式存在顧慮而離開該專案,使得人們針對 Sidewalk Labs和城市資料懷疑加深了不少。
原定其將賦予信託批准資料收集在源頭上匿名化或“去識別”(de-identified)的權利。這些資料將在Quayside獲取,這是一個計劃中的智慧社群的第一部分,叫做“Sidewalk Toronto”。谷歌一直堅稱,該社群將遵循“隱私設計”,確保在設計過程的每一個環節都考慮到隱私,以在公民權利和創造更智慧、更高效和環境友好的生活空間所需要付出的之間取得平衡。然而介於谷歌在廣告業務方面的聲譽以及他們對資料收集所傳遞出的模糊資訊,多數人對此並不信任。
谷歌Sidewalk Labs部門建議成立一個獨立的信託機構來負責監督該社群的所有資料收集。如果任何公司想要建立公民追蹤硬體或服務(包括Sidewalk Labs在內),他們首先需要向信託機構遞交一個名為“負責任的資料影響評估”(RDIA,Responsible Data Impact Assessment)的申請。一些申請可以“自我認證”,或者快速審批,而另一些申請需要仔細考慮。[ cnbeta ]