近日,上海警方偵破了一起特大網絡盜竊系列案。黑客利用理財軟件漏洞,篡改賬户充值金額,半天時間提現上千萬元。辦案民警歷時半年,在全國多地抓獲嫌疑人近百名。
嫌犯利用手機理財軟件漏洞非法提現
今年2月底,上海某金融信息服務有限公司,發現其旗下一款手機理財軟件,被多人利用黑客手段攻擊,半天時間內被非法提現人民幣1056萬元。
接到報案後,上海徐匯警方馬上成立專案組,辦案民警立即對該手機理財軟件的漏洞進行封堵,避免了更大損失。
經查,事發當天,一名犯罪嫌疑人利用該手機理財軟件的漏洞,使用黑客手段,篡改軟件充值的金額,並迅速進行提現,實施犯罪。
犯罪嫌疑人趙某:“那個漏洞是第三方支付跳轉的漏洞,充值1塊錢,然後劫取數據包,把那個1塊錢到賬金額改成了1萬元,然後就提現到自己的銀行卡里。
軟件漏洞被大量傳播利用 半天提現上千萬元
作案得手後,犯罪嫌疑人趙某又通過互聯網傳授作案方法,致使該軟件漏洞被大量傳播利用。在半天時間裏,共有422個異常賬户使用該方法進行惡意充值,其中269個賬户提現成功,被非法提現人民幣1056萬元。
上海市公安局徐匯分局網安支隊鮑珍榮:”其中有一筆異常的充值金額,他充值了5元,實際修改成了1000萬,最終他發起了提現請求,共計是提現了70多萬。“
截至目前,上海徐匯警方在上海、安徽、江蘇等多地先後抓獲近百名犯罪嫌疑人,其中74人被檢察機關批准逮捕。目前,案件仍在進一步偵查當中。
以下為網友評論:
網友“道、”:要死一起死嗎,還網上傳授
頻頻爆出安全問題的攝像頭,讓本來為了尋求安全的用户,卻有了更加不安全的體驗。
畢竟,隱私遭到直播這件事情,在後知後覺的那一剎那,是非常惱火的!
今年3月,海康威視的智能攝像頭遭入侵讓不少用户對攝像頭的安全性又一次產生的質疑,如此大的廠商,都能產生嚴重的安全問題,何況其他呢?
根據海康威視的官網顯示,其連續五年(2011-2015)蟬聯iHS全球視頻監控市場佔有率第1位,硬盤錄像機、網絡硬盤錄像機、監控攝像機第1位,視頻管理軟件第3位(2015)。
去年,海康威視在“全球安防50強”中,排名第一。
雷鋒網編輯還從“白帽匯”的相關博客看到,該產品共有超過250萬台設備對外開放。全球範圍內,中國地區使用最多,超過40萬台設備; 其次是美國地區,也有將近40萬台;第三是印度,共有超過15萬台;第四是韓國,超過12萬台;而英國也有超過11萬台的設備。
自3月發現漏洞後,海康威視立即進行了修復,近日漏洞的相關細節也被公佈。
根據國外網站 packetstormsecurity 的分析,由於海康威視攝像頭 API 支持 HikCGI (通用網關接口)協議。
HikCGI 協議處理程序在查詢字符串時,檢查名為 auth 參數存在時,如果該參數包含 base64 編碼的 username:password 字符串,則 HikCGI API 調用將被認為是用户身份識別,而密碼被忽略。由於海康威視產品種幾乎都存在admin賬户,黑客就可以通過模擬該賬户,實現管理控制。
如訪問所有用户列表,無需身份驗證即可獲取攝像頭截圖。
所有的HikCGI調用都可以使用相同的方式進行模擬,包括添加新用户等。
海康威視的固件中,有四個處理程序處理API請求:ISAPI,PSIA,HikCGI和Genetec。所有四個包含非常相似的身份驗證和授權碼。只有四個(HikCGI)中的一個有一個額外的代碼片段,具有非常簡單的邏輯“如果存在,然後跳過所有身份驗證”。一旦瞭解代碼流程,後門代碼就會脱穎而出。
海康威視表示,這是一個開發人員無意中遺留的調試代碼。
一個開發人員忘了刪除一段測試代碼,而它幾年來一直被忽視。
以下為網友評論:
網友“FOX”:我就好奇家用為什麼要聯網~國內網絡帶寬本來就不夠→_→
(2017-09-15)
“永恆之藍”勒索蠕蟲席捲150多個國家、烏克蘭電網遭遇系列黑客攻擊……在過去的一年裏,這些重大的網絡安全事件,給全球各行各業帶來了難以估量的影響。
2017年國家網絡安全宣傳週即將舉行,有關“網絡安全”的話題即將引發一輪業界熱議。近一年裏,網絡空間的攻防對抗出現了哪些新變化?伴隨物聯網、大數據、人工智能發展,網絡安全領域又出現了哪些新挑戰?讓我們聽聽周鴻禕、齊向東、範淵、葉曉虎等這批互聯網界大咖們怎麼説。
齊向東:
亟需建立“人+系統”新安全體系
“過去的12個月裏爆發的很多網絡安全事件,都有一個顯著的特點,就是用傳統的技術方法和產品,不能防止這些災難的發生。”360企業安全集團董事長齊向東分析,由傳統技術、產品構成的系統,多數採用已知樣本、已知攻擊、已知漏洞特徵等相關技術,來進行掃描、辨識和阻斷網絡攻擊,“防止這些網絡攻擊需要採用人+系統的方法,並且人起到關鍵性作用”。
齊向東還提到,傳統的檢出率、誤報率、漏報率的觀點已經過時了,當網絡攻擊大面積發生、損害隨機產生時能防住99%的攻擊,即使漏掉了1%,損失是可承受的。但是,今天面對APT(高持續性威脅)攻擊時,目標是毀掉一個基礎設施,比如水廠、電廠或者盜竊一批關鍵數據,哪怕是隻漏掉萬分之一,損失都是不可承受的。
“過去的12個月裏,85%的網絡安全事件來自內部人的疏忽、大意和故意。人,還是關鍵。”近日舉辦的第五屆ISC中國互聯網安全大會上提出了“萬物皆變,人是安全的尺度”的主題。“也就是説,人,對網絡安全起着決定性作用。”齊向東説。
接受光明網等媒體採訪時,齊向東還提到了“數據驅動安全2.0”的概念。他表示,“數據驅動安全2.0”利用雲端安全能力和安全運營平台,將數據的安全價值賦能設備與人,驅動設備協同聯動的同時讓人更加智能。雲端、設備和人三部分協同聯動的新一代安全體系,能全方位提升防禦內外部安全威脅和業務風險的能力。
具體來説,第一,雲端是安全運營和能力中心,基於數據的雲端安全能力平台和安全運營平台,將數據轉換為安全價值,為設備和人安全賦能;第二,數據驅動設備間協同聯動,提升設備能力,抑制安全風險,減少響應時間,降低運營成本;第三,人是新一代安全運營的核心,通過充分利用雲端能力,結合本地設備協同聯動,提升研判分析、追蹤溯源、響應處置和運行維護水平。
周鴻禕:
網絡攻擊向物聯網、車聯網和工業互聯網發展
“5月份爆發的勒索蠕蟲攻擊事件是網絡安全的分水嶺,標誌着大安全時代的到來。”360集團董事長周鴻禕表示,大安全時代呈現出網絡戰不宣而戰、漏洞是重要武器、沒有攻不破的網絡、工業互聯網成為攻擊目標、網絡犯罪和網絡恐怖主義的潘多拉盒子被打開等五大趨勢。
“隨着物聯網、車聯網和工業互聯網的發展,這些行業開始成為網絡攻擊的目標。”周鴻禕表示,去年10月的美國互聯網斷網事件就是由惡意軟件控制了近百萬攝像頭組成的殭屍網絡,攻擊美國的解析服務商造成的;另外,在物聯網、車聯網和工業互聯網領域內,開始使用一些人工智能技術,使用人工智能技術發展無人化的系統,一旦被劫持將帶來更多、更嚴重的安全問題。
周鴻禕認為,今天已經不是一個計算機安全的時代,也不再是孤立地談信息安全時代;安全問題已經泛化,已經進入了一個新的“大安全時代”;網絡安全已經不僅僅是網絡本身的安全,而是一個安全的集合,它包括了國家安全、社會安全、基礎設施安全、城市安全,甚至是人身安全。
對於大安全時代的趨勢,周鴻禕預測,大安全意味着網絡戰時代來臨,網絡戰本質是漏洞,車聯網、工業物聯網等應用場景面臨潛在威脅;另外,軍民融合在網絡安全產業是必然趨勢,也將是安全產業的巨大機會。
“過去的網絡防護依賴於技術體系,一味地堆砌設備,重金打造的防線看似固若金湯,實際不堪一擊,因為安全不僅僅是技術問題,更是人的問題。”周鴻禕表示,搭建安全體系時需要基於人來建設業務體系設計和安全技術體系,通過人與技術的協同,建立以人為核心的安全體系和安全生態。
範淵:
攻、防不平衡明顯,企業須加強全要素數據採集能力
最近,杭州安恆信息技術有限公司董事長兼總裁範淵所在公司正在幫助一家熱電廠處理勒索病毒的變種問題。他説,該廠的病毒爆發後通過PAC(新型控制器)接口傳到水污傳控,然後再到主控系統。
這則案例讓他感受頗為深刻。“在網絡安全面前,很多傳統領域都難做到獨善其身,即使是相對比較隔離的領域。而且幾乎每隔一年,不管是攻擊方式還是防守方式,都會發生很大的變化。”範淵説。
針對網絡空間安全的態勢感知,範淵認為,就是對網絡狀態發生變化的要素進行獲娶理解、顯示和預測。具體來説,一是具備全要素數據的採集能力。因為面對網絡安全的威脅,攻與防呈現出明顯的不平衡,所以必須要對每一塊的數據擁有采集能力,否則漏掉任何一塊就有可能導致重大問題。
二是全方位感知和檢測能力。這裏有兩個核心的要素,即能力要素和性能要素。三個是APT(高持續性威脅)深度流量分析能力。比如,某市發現有木馬病毒的高頻攻擊,通過ATP分析迅速定位,最終三個人組成的非法黑產團伙被查獲。
除了對全網的感知、分析、防控等能力外,還有就是外部威脅情報能力。比如,當發現某個IP正在攻擊,需要對其進行判斷,包括過去在很多庫裏的暗鏈、漏洞、指紋等,可以將其稱之為“數據大腦”。
另外,還有一個是大數據的分析關聯能力。大數據本身不產生價值,但是它提煉過程便產生了價值,在安全方面也是一樣;目前,人工智能、機器學習、深度學習不斷髮展,但隨着現在大數據真正能力的完善,使得在安全上的價值開始真正的實戰化。
葉曉虎:
企業安全是動態過程,需要持續監控分析
互聯網技術發展給傳統金融業帶來了一股新風,在推動其創新變革的同時,其外部安全形勢也日趨複雜和嚴峻。“2017年上半年,從攻擊源的角度看,60%的攻擊源來自GDP排名前十的國家。”綠盟科技高級副總裁葉曉虎説。
葉曉虎認為,從網絡安全的角度來看,網絡攻擊活躍、勒索事件頻發,勒索產業也日趨成熟,勒索軟件發展的數量越來越多,並且出現了利用系統漏洞進行自動傳播的趨勢;另外,物聯網終端的設備數量呈爆炸式增長,黑客一定會利用物聯網終端的安全問題發動攻擊。
面對越來越複雜的威脅與挑戰,企業安全體系如何構建?“十多年前,我們覺得部署幾台設備和一些規則就可以了,但是實踐證明現在不可行。安全不是靜態的,而是一個動態的過程,需要持續的監控與分析。因此,要把日常工作中產生的數據積累起來,並對這些數據進行持續的監控與分析,以這些數據為基礎,建設包括態勢感知、綜合防禦、預警監控、應急處置、協同運營等多種能力。”葉曉虎説。
傳統企業和安全廠家如何更好地協同運營?葉曉虎認為,首先要改變對服務的觀念,改變預算的決策機制和結構;第二是企業需要將安全運營能力和開發進行整合;第三攻防本質是對抗,對抗的背後是攻防雙方的能力的較量,安全廠家需要積累更深厚的安全能力,才能夠有效提升對抗水平和速度。
以下為網友評論:
網友“暖瞳恿”:網絡攻擊的範圍是非常廣大,物聯網、車聯網都要攻擊
(2017-09-16)
現在市場上,各種理財方式和理財平台百花爭豔,銀行存款受利率限制,早已被許多年輕人放棄,轉向貨幣基金、網貸平台甚至基金、股票。其中,網貸平台因其收益率高且安全穩健,逐漸被大多數人喜愛。
作為互聯網金融平台,為了保護投/融資人的信息、資金及交易安全,對技術及安全性的要求都是非常高的,一般情況下投資人也是比較放心的。但是在今年2月27日,上海某金融信息服務有限公司發現旗下一款APP軟件被多人利用黑客手段攻擊,半天時間內即被非法提現1056萬元,遂向公安機關報案。
幸運的是,上海徐彙區公安分局隨後派員進駐公司,梳理了該APP平台的服務器數據,當日分析出嫌疑人的作案手法並封堵漏洞,從而避免了金融平台和投資人更大的損失。
警方經過半年連續奮戰,抓獲犯罪嫌疑人近百名,且遍佈於全國30餘省份,成功破獲了該起特大網絡盜竊系列案。
經過警方分析,黑客盜取現金的流程是這樣的:
利用漏洞,在充值的過程中篡改請求金額數據,導致平台入賬金額異常,入賬後再迅速提現。也就是説,他實際充值可能只有1元錢,但經過數據篡改,平台入賬金額顯示10萬甚至100萬,而理財平台本身具有零錢包等活期產品,是可以隨時提現的,從而使得嫌疑人成功將大量現金提出,造成平台和投資人資金的損失。
現在市面上的理財APP具有活期產品的不在少數,這類產品因其流動性強,利率又高於銀行活期存款,所以深受廣大投資人喜愛。許多人的零用錢就存在平台活期產品裏,隨用隨取,方便又靈活。
實際上,互聯網金融平台的安全係數是要遠遠高於其他類型app的,因為國家監管要求,所有網貸平台均須具備信息技術安全三級等級保護認證,也就是説和銀行系統安全的等級一致。這是監管辦法裏面的明文規定,是網貸平台的門檻。
像上述這種情況,如果換成投資定期理財產品,也可避免出現。這種巨大漏洞時間稍久也會被平台技術團隊發現並及時阻止的。所以大家不必恐慌,遇到這種情況也不要盲目跟從,畢竟天上沒有掉餡餅的事兒。即便是羊毛黨,也不能説薅就薅,遵紀守法是第一要務。
(2017-09-17)
南京90後小夥從網上學來了一種小技巧,只花1分錢就能成功充值上百元話費,結果因涉嫌盜竊罪被警方批捕。
據央視新聞報道,小夥無業,在一個“薅羊毛”的聊天羣裏,於是“先是用1分錢充了200元成功到賬,然後就開始反覆充值,一共到賬58筆、26000餘元。”
除了這名90後小夥,聊天羣的其他數十位網友,僅僅兩天就通過這個攻略,“薅”走了160多萬元話費。
經調查,江蘇某電子商務公司的網上話費充值平台由於沒有設置校驗環節,導致支付環節存在技術漏洞,從而被黑客利用。
日前,小劉等人因涉嫌盜竊罪,被南京市檢雨花台區檢察院正式批捕。
(2017-02-27)