安全快讯18 | 这类应用可能让数十亿用户面临隐私攻击!

 

诈骗先知

冒充公检法卷土重来,四步诈骗40余万元

说到冒充公检法类诈骗,了解的用户可能会想到“虚假的警官证”、“ps的通缉令”等诈骗工具,而最近发生的冒充公检法类诈骗案件,却用到了虚假的安全防护APP,几步就转走了40余万元。

 

案件经过

第一步:李女士接到了冒充通信管理局的诈骗电话,对方声称李女士的身份信息被盗用办理了一张手机卡,目前该手机涉及某洗黑钱案件。

第二步:骗子将电话转接至某“公安民警”,对方称为了查证案情,需要李女士下载安装“安全防护”的APP,并发送了一个网址。

第三步:李女士下载安装后,对方要求填写个人银行信息并进行认证,再次强调该APP绝对安全,只要在该APP上提供自己的银行流水,便能将嫌疑洗清。

第四步:骗子获取李女士的银行卡号、密码及验证码等信息后,以验证流水为由,多次要求李女士输入证码,随后发现银行卡内被盗刷40余万元。

 

360安全专家分析

所谓的“安全防护软件”APP,其实就是骗子制作的木马软件,或存在套取银行账户/密码的情况。用户在填写的银行卡号、密码及验证码等信息时,骗子在后台可以看得一清二楚!

图为骗子使用的管理后台

此类诈骗,不法分子还可能利用输入多次错误密码等方式让银行账号锁定。再引导用户通过线下银行,银行卡无法取现的现象,让用户以为银行账户被检察院冻结。增加诈骗环境的仿真度,迷惑用户。

 

安全课堂

360手机卫士安全专家提醒广大用户,公安机关不会通过电话“遥控”办案。

凡是要求转账、汇款、资金审查等情况,一律是骗子!

不存在所谓的“安全账户”,更不会索取银行账户、验证码、密码等重要信息。

 

行业动态

中国信通院发布《2020年上半年工业互联网安全态势报告》

在工业和信息化部网络安全管理局的指导下,中国信通院和工业互联网产业联盟编制形成了《综述》。《综述》对工业互联网领域重点行业和相关企业2020年上半年的安全威胁监测、分析研判和响应处置等情况进行梳理和分析,总结提出了上半年工业互联网安全态势的十大突出特点,并对下半年工业互联网的安全态势进行了预测。

2020年上半年,我国工业互联网安全态势整体平稳,未发现重大网络安全事件,但恶意网络行为持续活跃,对工业控制系统及设备的攻击持续增多、受攻击的行业范围广,工业互联网安全形势严峻,并从我国工业互联网相关恶意网络行为变化趋势、攻击特点以及工业设备及系统的安全现状等十个方面进行了详细解读。《综述》还从“‘新基建’下工业互联网面临安全新挑战”、“恶意网络行为将有增无减”、“0DAY漏洞数量将进一步提高,漏洞影响范围将进一步扩大”等六个方面对下半年工业互联网安全态势进行了预判。

 

国际前沿

即时通讯应用的这个“命根子”,让数十亿用户面临隐私攻击

近日,安全研究人员发现一些主流的,甚至以隐私保护为卖点的即时通讯应用,包括Whatsapp、Signal和Telegram都存在重大的隐私泄露问题。根源在于,这些应用的“联系人发现服务”使用户可以根据通讯录中的电话号码查找联系人,同时也为隐私泄露敞开了大门。

 

移动通讯程序的隐私爆点

当安装类似WhatsApp的移动即时通讯应用时,新用户可以立即基于存储在其设备上的电话号码开始向现有联系人发送短信。为此,用户必须授予该应用访问权限,这个所谓的联系人自动发现功能还会定期将用户的地址簿上传到公司服务器。

但是最近进行的一项研究表明,当前主流移动通讯应用部署的这种联系人发现服务严重威胁着数十亿用户的隐私。仅仅动用了很少的资源,研究人员就对流行的即时通讯应用WhatsApp、Signal和Telegram实施了爬虫攻击。实验结果表明,恶意用户或黑客可以通过查询联系人发现服务中的随机电话号码来大规模收集敏感数据,而没有明显的限制。

 

研究结果:服务提供商需要改善其安全措施

研究人员还提出了许多其他缓解技术,包括一种新的联系人发现方法,可以采用该方法来进一步降低攻击效率,而不会对可用性造成负面影响。

(完)