1 恶意软件使用新技术绕过谷歌基于SMS的双因素认证机制
ESET研究人员发现恶意应用程序在不使用SMS权限情况下,可以访问在SMS 2FA消息中一次性密码(OTPs),绕过谷歌最近的SMS权限限制。此技术也可用于从某些基于电子邮件的2FA系统获取OTP。恶意应用程序冒充土耳其加密货币交易所BtcTurk和网络钓鱼来获取该服务的登录凭据。这些恶意应用程序不会拦截SMS消息来绕过用户帐户和事务上的2FA保护,而是从受感染设备显示屏上显示的通知中获取OTP。除了阅读2FA通知,应用程序还可以关闭程序,以防止受害者注意到发生诈骗性交易。
https://www.welivesecurity.com/2 ... issions-2fa-bypass/
2 安全厂商发布GandCrab勒索软件新版解密工具
Bitdefender发布针对勒索软件GandCrab的解密工具更新,可以修复最新版本的GandCrab。GandCrab在一年多的传播中,全球范围内已约有150多万受害者,幕后攻击者在近日宣布停止运行GandCrab时,表示已经获取勒索赎金约20亿美元。目前已发布的几个版本的GandCrab解密工具已为受害者提供了超过30,000次的成功解密。
https://labs.bitdefender.com/201 ... ss-you-left-behind/
3 以色列取证公司表示可入侵任何版本iOS的设备
以色列移动取证公司Cellebrite表示,已经找到了一种方法可以入侵运行任何版本iOS的iPhone或iPad设备,包括最新版本iOS 12。早在2016年,Cellebrite被认为是为FBI破解San Bernardino杀手Syed Rizwan Farook的iPhone 5c。Cellebrite透露可以在任何iOS设备上执行完整的文件系统提取,由此可见影响iphone和ipad设备iOS各版本的漏洞已经被发现,目前约有14亿的苹果用户都可能受到影响。
https://www.forbes.com/sites/gor ... ax-xr/#4cafdc493641
4 新网络钓鱼活动通过显示加密邮件来窃取凭据
新网络钓鱼活动伪装成电子邮件服务“已接收加密邮件”的通知,来要求收件人登录以阅读加密邮件。当收件人点击“查看加密邮件”时,将转到虚假的商业OneDrive页面,当点击按钮阅读时,将被转到另一个OneDrive登录表单的页面,攻击者将窃取收件人输入的凭据。
https://www.bleepingcomputer.com ... -encrypted-message/
5 澳大利亚天主教大学遭到钓鱼攻击致数据泄露
澳大利亚天主教大学(ACU)表示遭到网络钓鱼攻击,导致部分员工的电子邮件账户和系统遭到入侵。钓鱼邮件伪装来自ACU,点击其链接或附件将显示虚假的ACU登陆页面,窃取输入凭据。攻击者将使用窃取凭据访问受害者电子邮件账户、银行账户详细信息等。ACU已通知受影响的个人并重置帐户的密码。
https://www.computerworld.com.au ... ompromised-systems/
6 美国俄勒冈州立大学泄露学生和家庭的PII信息
美国俄勒冈州立大学公布了近日数据泄露事件,可能暴露了636份包含个人身份信息(PII)的学生记录和家庭记录。此次事件始于针对员工邮件的网络钓鱼攻击。俄勒冈州立大学尚未透露PII涉及的内容,但总的来说,PII可以包括姓名,地址,电话号码,社会安全号码等。该所大学正在继续调查此事,并确定网络攻击者是否用个人信息查看或复制了这些文件。
https://www.zdnet.com/article/or ... tudent-family-data/
|
发表于 2019-6-17 21:51