趨勢科技發表了一份有關石油與天然氣產業如何掌握 OT、IT 與 CT 資安狀況的技術報告。
石油與天然氣產業正面臨網路攻擊的威脅,例如 2021 年 5 月美國輸油管營運公司 Colonial Pipeline 遭勒索病毒襲擊,即對該產業造成巨大衝擊。2022 年 2 月,媒體報導歐洲有多家油品供應公司因遭到網路攻擊而被迫關閉部分營運。
這些最新的事件突顯出石油與天然氣供應流程也得仰賴 IT 系統,一旦 IT 系統因網路攻擊而無法運作,關鍵營運也會受到影響。
繼續閱讀本周資安新聞週報重點摘要,本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的見解。
「老舊帳號」劫持+「PrintNightmare」漏洞入侵!俄羅斯國家級駭客讓雙因素認證破功 科技新報網
駭客入侵俄國網路攝影機、國有油管業者 iThome
Linux後門程式經由Log4j漏洞散布 iThome
不只號召IT大軍對抗實體坦克 更撼動全球科技圈紛紛出手制裁 烏克蘭戰爭的科技衝擊 iThome電腦報周刊
Google帳號被盜!實況主黑羽:兩段式驗證都也沒用 新頭殼
國際駭客組織「匿名」入侵 雀巢縮減在俄羅斯產品 中央通訊社
Meta封鎖不配合啟用雙因素驗證的臉書用戶 iThome
可用來竊取臉書憑證的Android程式已被安裝在逾10萬臺裝置上 iThome
密碼長度與強度怎樣設最不易被駭客破解?一張圖秒懂 自由時報電子報
微軟再示警IE11將在6月停用,企業用戶應及早汰換 iThome
金融惡意軟體 SharkBot 在 Google Play Store 中假扮為防毒工具誘騙安裝 資安人
AI 分辨木瓜熟度、策展虛實整合,LINE 官方帳號玩出跨界創意無限可能 科技新報網
白宮呼籲美國組織強化資安以對抗來自俄羅斯的潛在網路威脅 iThome
俄國殭屍網路程式Cyclops Blink瞄準華碩路由器 iThome
隨著台灣資安產業轉向雲端應用,防禦惡意攻擊應多管齊下 CIO IT經理人
美國、歐盟警告衛星通訊的網路攻擊風險 iThome
抗衡特斯拉、蘋果的新武器,三年後可望誕生 本田攜手索尼要年輕人出門 全球第一輛娛樂電動車來了? 商業周刊
拉高電動車占比 將祭補貼誘因 工商時報電子報
繼續閱讀手機簡訊認證早已成了許多線上平台和應用程式預設的認證方,但現在網路犯罪集團藉著SMS PVA 地下服務,已經能夠大規模破解手機簡訊認證機制, 從事非法購物或洗錢行為。甚至建立僵屍網路、網軍或是假帳號。
而且當執法單位在追查可疑帳號時,只會追查到感染「簡訊攔截惡意程式 」的無辜手機持有人。 令人背脊發涼的問題是,該地下服務不只侷限於攔截認證碼,還可以用來蒐集一次性密碼 (OTP)。
已經企業化經營的SMS PVA服務-手機簡訊 (Short Message Service ,SMS) 電話認證帳號 (Phone-Verified Account,PVA) 服務,近兩年來越來越多。這項地下服務讓提供不需擁有手機號碼也能註冊各種線上服務及平台的帳號。不僅能規避許多線上平台及服務用來認證新註冊帳號的手機簡訊認證機制,犯罪集團還可大量註冊一些拋棄式帳號,或利用經過電話認證的帳號來從事犯罪活動。
以下內容將分享我們針對某家 SMS PVA 業者 (smspva[.]net) 的營運方式進行深入研究的成果。更詳細的內容請參閱我們的研究報告「SMS PVA:可讓駭客註冊大量假帳號的地下服務」(SMS PVA: An Underground Service Enabling Threat Actors to Register Bulk Fake Accounts)。
基本上,Smspva[.]net 和其他 SMS PVA 服務都有一些主要共同特點:
