作者:
2020.04.13 周一
01
“趁疫打劫”?警惕黑客利用新型冠状病毒蹭热点!
随着全球进入新型冠状病毒疯狂肆虐的至暗时刻,网络威胁也愈演愈烈。网络上许多黑产组织借此“契机”,黑客利用人们的恐惧和混乱打着'冠状病毒'名义实施网络攻击,以越来越狡猾的方式将计算机病毒、木马、移动恶意程序等伪装成包含“肺炎病例”、“世界卫生组织”、“口罩”等热门字样的信息,通过钓鱼邮件、恶意链接等方式传播。
受到新冠疫情的影响,全球掀起了远程办公和远程教育热潮,互联网流量激增,网络钓鱼攻击和恶意软件也变得越来越普遍。隐私泄露、数据丢失、业务中断等安全风险也随之涌现,医疗、在线教育、通信、电商行业成为黑客重点攻击对象。
普普评述
采用远程办公的企业在数据安全基础防护方面要做到端到端的数据加密传输防护、识别钓鱼邮件、持续监控,保障数据安全传输、突破传统方式实现更安全的数字签名。
2020.04.14 周二
01
MacOS更新曝出严重问题
最新的macOS更新导致的问题似乎比解决的问题更多,不少Mac用户已经报告了更新后的各种烦人问题,包括导致MacBook“变砖”的严重后果。macOS 10.15.4 Catalina补充更新于上周三(4月8日)发布,旨在解决3月下旬10.15.4更新所产生的严重问题:系统在大文件传输期间崩溃、无法从睡眠模式唤醒、USB-C端口无响应、随机重启甚至内核崩溃。
新的“补充更新”确实可以解决上述问题,但严重的“副作用”甚至比不更新更糟。在Apple解决所有问题之前,建议不要安装Catalina 10.15.4的补充更新。
普普评述
如果你已经更新并且电脑“变砖”,目前在苹果用户讨论论坛上有一个经用户验证过的办法:进入了恢复模式,运行磁盘实用程序急救,然后重新启动。
2020.04.15 周三
01
微软买下“史上最危险域名”
近日,据知名安全博主Brian Krebs报道,微软已经购买了“史上最危险域名”corp.com,以免落入坏人手中。据悉微软正在确认购买交易,但是到目前为止还没有透露域名收购价格。
今年2月,corp.com以170万美元的起价公开拍卖该域名,当时在业内引发轩然大波,因为corp.com号称史上最危险域名。谁掌握了corp.com,谁就拥有了被动攻击全球企业网络的超级僵尸网络,不计其数的企业内部设备瞬间都会主动投怀送抱,成为这个僵尸网络的肉鸡,并向域名控制者发送企业内网的敏感信息,包括密码账户、电子邮件和文档等。
普普评述
corp.com也许只是冰山一角,从安全的角度来看,任何将企业内网Active Directory绑定到非企业控制的域名下都是极其危险的行为。
2020.04.16 周四
01
上千台华硕、D-Link路由器遭入侵
安全研究人员透露,在过去的三个月中,一个新的僵尸网络已经破坏了上千台ASUS、D-Link和Dasan Zhone路由器,以及诸如录像机和热像仪之类的物联网(IoT)设备。
该僵尸网络称为Dark_nexus,其技术和战术类似于以前的危险IoT威胁,例如Qbot银行恶意软件和Mirai僵尸网络。但是,Dark_nexus还配备了一个创新模块,用于实现持久性和检测逃避,Dark_nexus还借用了Qbot和臭名昭著的Mirai僵尸网络以前使用的代码和进程,后者2016年发起了“搞瘫半个美国”的Dyn DDos攻击。
普普评述
自从12月首次发现该僵尸网络以来,研究人员(基于蜜罐证据)估计该僵尸网络已经危害了全球至少1,372台设备。这些设备主要位于韩国以及中国、泰国和巴西。
2020.04.17 周五
01
发条短信即可远程访问你的所有电子邮件
手机更换新 SIM 卡,首次接入蜂窝网络时,运营商服务会自动设置,或向用户发送一条包含接入数据服务所需特定网络设置的短信。
想必只要移动互联网服务顺畅,没人关心这些短信都是什么内容。
但用户真的应该关注下这些设置,因为安装不可信设置有可能令用户数据隐私面临风险,让远程攻击者得以监视你的数据通信。
移动运营商发送的 OMA CP(开放移动联盟客户端配置)消息包含接入点名称 (APN),还有手机连接运营商移动网络和公共互联网服务间网关所需的其他配置信息。
普普评述
研究人员建议,即使打上了补丁,用户也不要盲目相信来自移动运营商的消息,不要轻信互联网上声称帮助用户解决数据运营商服务问题的 APN 设置。
2020.04.18 周六
01
神秘 iOS 攻击颠覆了对入侵苹果手机的认知
一直以来,iPhone 攻击都被认为是专业性针对性极强的黑客行动,非高端黑客国家队无法实施,且只针对高价值目标下手。但谷歌研究人员发现的一支黑客队伍颠覆了这一认知:两年来,有人一直在利用丰富的 iPhone 漏洞,而且目标选择毫不谨慎或克制。他们通过诱导目标访问某个网站而无差别攻击了成千上万台 iPhone。谷歌 Project Zero 安全研究团队披露了大型 iPhone 黑客攻击活动。一小撮野生网站集结了五个所谓的漏洞利用链——将安全漏洞链接起来的工具,供黑客层层突破 iOS 数字防护。
普普评述
用户认识到大规模漏洞利用依然存在,并据此指导自己的操作;将手机视为自身现代生活的一部分,又警惕手机被黑时会被记录到某个数据库的设备。
2020.04.19 周日
01
2023年,超过40%的隐私合规技术将依赖AI
积极的隐私用户体验(UX)最重要的就是迅速处理主题权限请求(SRR)的组织能力。SRR涵盖了一系列的权利,其中个人有权就其数据提出请求,而组织必须在定义的时间框架内对其作出响应。
根据调查,许多组织无法对这些主题权利请求提供准确且有效的回答。三分之二的受访者表示,他们对单个SRR的回复需要两个星期或更多时间。此外,这些流程通常也需要人工完成,平均费用约为1400美元并随着时间的推移而增加,基于AI的工具可以更快捷、更大规模地解决SRR问题,不仅能够节省组织过多的开支,而且可以满足客户的隐私需求从而修复客户对企业的信任度。
普普评述
随着Al通过在SRR管理和数据发现等领域协助组织提高隐私保护能力,我们将开始看到服务提供商提供的更多Al功能。