1、《反电信网络诈骗法》正式实施!突出个人信息保护
《中华人民共和国反电信网络诈骗法》(以下简称《反电信网络诈骗法》)自2022年12月1日起施行,加强对公民个人信息的保护、对境外电信网络诈骗的打击,采取限制出境措施等,加大惩处力度,详细规定了不同机构的违法责任,对相关人员依法追究刑责,或予以罚款、拘留等行政处罚。电信网络诈骗的背后往往伴随着个人信息泄露的问题。大量、长期的非法获取、提供公民个人信息等违法犯罪行为助长了电信网络犯罪行为。《反电信网络诈骗法》第二十五条规定,任何单位和个人不得为电信网络诈骗行为出售、提供个人信息;第二十九条规定了个人信息处理者应依照《个人信息保护法》的规定,加强个人信息的保护,建立个人信息被用于电信网络诈骗的防范机制。
2、热门报税软件将消费者个人数据发回给Meta和谷歌
外媒日前报道,TaxAct、TaxSlayer和H&R Block等流行的报税软件通过其名为像素(pixel)的广泛使用的代码,向Facebook的母公司Meta发送敏感的财务信息,帮助开发者跟踪用户在其网站上的活动。这类软件中的Meta像素跟踪工具向Meta发送纳税人的姓名、电子邮件地址、收入信息和退税金额等信息,此举违反了政策。另外,TaxAct通过谷歌的分析工具将类似的财务信息发给了谷歌,不过这些数据并未包括纳税人姓名。据CNBC报道,Meta使用了众多内容发布商和企业用来嵌入在网站上的微小像素。当人们访问网站时,这些像素就向Facebook发回信息。像素还让公司企业能够基于人们以前访问过的网站向他们投放广告。报道声称,Facebook可以利用税务网站的信息来增强其广告算法,即使使用税务服务的人并没有拥有Facebook帐户。Meta认为可能敏感的资料包括收入、贷款金额和债务状况等信息。
3、元宇宙可能成为 2023 年网络攻击的主要途径
卡巴斯基的研究人员着眼于2023年网络攻击格局可能发生的演变,预计攻击者将扩大使用他们当前的许多策略,同时通过社交媒体、流媒体服务和在线游戏平台探索新的攻击路径;元宇宙世界(互联网上普遍和身临其境的虚拟世界)可能会使他们受到攻击;任何消费者威胁都可能是企业威胁。有安全厂商预计,网络犯罪分子将继续利用消费者对在线流媒体服务兴趣大增的机会,分发恶意软件、窃取数据和执行其他恶意活动。许多攻击的目标是寻找下载合法流媒体应用程序或某一集节目的替代来源的人;网络犯罪分子利用广受期待的标题和流媒体服务提供商的名称,如Netflix、Hulu和AmazonPrimeVideo作为诱饵,让用户下载恶意软件或将他们引向钓鱼网站;消费者还将面临更多的游戏订阅欺诈和涉及在线货币和人工制品的诈骗。攻击者将主要针对那些使用货币并允许出售游戏内物品和加速器的游戏,因为它们给攻击者提供了从其他非法活动中获得的资金的途径。
4、安装量达1500万,这款诈骗软件专门针对发展中国家
Google Play 和 Apple App Store 上的 280 多个 Android 和 iOS 应用程序以具有欺诈性的条款使用户陷入贷款漩涡,并采用各种方法对借款人进行勒索和骚扰。为了实现该行为的勒索企图,这些应用程序从手机中窃取了通常贷款不需要提供的大量隐私数据。最新报告中,研究人员发现了251个安卓35个iOS的借贷应用,这些应用的下载量合计达1500万次,主要来自印度、哥伦比亚、墨西哥、尼日利亚、泰国、菲律宾和乌干达的用户。这些贷款应用程序在发展中国家取得了巨大的收益,因为这些国家的金融机制问题,欺诈行为的报告不太可能被起诉。在安装欺诈性贷款应用程序后,用户被要求授予风险权限,使欺诈者能够访问设备上的敏感信息,如联系人列表、短信内容、照片、媒体等。
5、因遭遇网络攻击,太平洋岛国国家政务网络瘫痪超三周
受网络攻击影响,太平洋岛国瓦努阿图政府已经离线约三个星期。民众难以获得服务,部分公务员也被迫重新拿起笔纸来办理事务。几天过去,有官员告知当地新闻媒体,政府网络、官方网站和在线服务曾在11月6日遭到“入侵”。在此之后,政府一直对攻击事件和系统恢复问题三缄其口,这招致了一些批评声音,有新闻媒体甚至将这次黑客攻击称为“我们最深处的秘密”。这次网络攻击,发生在总理Alatoi Ishmael Kalsakau领导的新政府宣誓就职后的第二天。由于政务系统离线,对居住在几十个岛屿上的32万瓦努阿图民众生活造成了极大不便。
6、世界杯球迷正在遭遇网络诈骗浪潮
网络安全公司Group-IB收集的数据显示,随着卡塔尔世界杯进入第二周,国际足联世界杯的诈骗活动正在激增。研究人员已经确认了多达90个可能被入侵的Hayya账户。Hayya是世界杯观众进入卡塔尔、购买门票和交通等其他服务的强制系统。他们还在谷歌Play Store中发现了大约40个虚假应用程序,承诺可以获得门票,以及至少5个自称是求职申请表的网站,用于获取个人信息。该公司与国际刑警组织分享了调查结果,并与卡塔尔计算机应急响应小组达成合作。
7、Twitter源代码正在添加端到端加密私信功能
Twitter 正准备为其平台上用户之间的私信 (DM) 添加端到端加密 (E2EE),预计这一功能将很快到来。这是一项广受欢迎且需求量很大的功能,它将有助于进一步保护通信双方的私密性,免受任何第三方甚至是法律请求的影响。最近,移动研究员 Jane Manchun Wong发推称,她发现Twitter的安卓版源代码中出现了关于E2EE 的内容。在一个字符串中,出现了“这个号码是根据你这次对话的加密密钥生成,如果它与接收者手机中的号码相匹配,就能保证端到端加密”的描述。而Twitter CEO马斯克对此回复了一个“眨眼”的表情,暗示该功能确实正在开发中。
8、应企业安全通讯市场爆发潮 AWS 发布加密消息服务 Wickr
IMARC Group的最新报告显示,全球消息安全市场的价值预计将从2021年的51亿美元暴增至2022年的112亿美元。Mordor Intelligence发布的另一份报告则预测该市场将从2021年的40亿美元增长到2022年的147亿美元。面对消息安全市场需求的暴增,刚刚宣布关闭面向消费者的加密消息服务(Wickr Me)的亚马逊AWS在本周二的re:Invent大会上宣布正式推出Wickr Me的企业版本AWS Wickr。AWS Wickr于7月首次公布,此前一直处于预览状态。据AWS介绍,Wickr企业级消息加密服务让企业用户能够安全地通过文本、语音和视频以及文件和屏幕共享进行协作,同时还能帮助企业满足有关审计和监管要求(例如信息自由法案FOIA)。
9、全国首例——云南破获域名黑产大案,抓获 630 人
2021年5月以来,云南公安机关成功破获全国首例域名黑产犯罪案件,经全国各地公安机关连续奋战,共侦破案件300起,抓获涉案人员630人,查封用于黄、赌、诈等违法网站域名50余万个。随着网络技术和智能手机的飞速发展,赌博、色情、诈骗等传统犯罪加速向网上迁移,以网站和APP为载体的网络犯罪活动日益突出。域名是其中不可或缺的重要组成部分,是此类非法网站和APP必不可少的构成要素,因此网络域名黑产犯罪也逐渐成为了一种危害较大的新型网络技术犯罪。
10、美国网络司令部与DARPA合作推动将创新网络科技成果转化为网络战能力
美国网络司令部与国防高级研究项目局(DARPA)签署合作谅解备忘录,两个机构将建立聚焦需求确立及加速创新网络科技成果转化的合作关系,网络司令部未来将深入参与其感兴趣的国防高级研究项目局科研项目,并在相关项目产出成果时投资支持其转化为美军网络战能力。这一合作也是美国网络司令部在逐渐降低其对美国安局人力资源及网络基础设施依赖、开始构建自主的网络战基础平台“联合网络作战架构”(Joint Cyber Warfighting Architecture,JCWA)的背景下,拓宽其新能力来源渠道、深化其与美国军方背景科研机构沟通合作的又一重要动作。美国网络司令部和国防高级研究项目局未来合作将采取所谓“星座”(Constellation)的流水线式作业模式——国防高级研究项目局发起科研项目,而网络司令部在项目开展过程中参与并提供意见建议,之后再共同将项目成果转化为与网络司令部现有的“联合平台”(Unified Platform)、“持续网络训练环境”(Persistent Cyber Training Environment,PCTE)等网络战生态系统主要构件相匹配的网络武器。
Copyright © 2005-2021 网信安全世界版权所有