国际资讯

报道称实体安全密钥是谷歌员工避免网络钓鱼的秘密

据外媒CNET报道，事实证明，谷歌员工避免网络钓鱼的关键是一个真正的密钥。 Krebs on Security上周报道称，该公司于2017年初开始使用基于物理USB的安全密钥，从那时起，其85000多名员工中没有一人在使用他们的工作账户时遭遇网络钓鱼。

密钥可用作双因素身份验证的替代方法，用户首先使用密码登录网站，然后输入通常通过文本或应用程序发送到手机的其他一次性密码。

 一位谷歌代表告诉Krebs，安全密钥用于该公司的所有帐户访问。 “自从在谷歌使用安全密钥以来，我们没有报告或确认帐 户接管，”这名代表表示。“用户可能会被要求使用他们的安全密钥对许多不同的应用程序/原因进行身份验证。这完全取决于应用程序的敏感性以及用户在该时间点的风险。”

谷歌没有立即发表评论。

参考链接：https://www.t00ls.net/articles-47088.html

Steam上这款游戏或是伪装的病毒 把玩家PC变成矿机

Steam上一款名为《抽象主义（Abstractism）》的游戏近日引起了国外玩家的注意，因为这款看起来平平无奇的2D游戏竟然拥有着非常可观的CPU和GPU占有率，而随后玩家SidAlpha对这款游戏进行了深入的研究，发现这就是款披着游戏外衣的挖矿器。

根据介绍，这款游戏会向玩家们的电脑上安装一个木马病毒，伪装成Steam.exe进程，并在“Abstractism启动器”启动同时运行恶意软件，而这些安装的恶意软件看起来似乎是用来挖取数字货币的，同时也伴随着CPU和GPU使用率的飙升。

但开发商Okalo Union表示，硬件使用率升高是因为玩家们开启了游戏里的高质量画面选项，但就这样一款2D游戏来说，无论如何都不该拥有这样高的硬件使用率。

参考链接：http://www.gamersky.com/news/201807/1079731.shtml

拼多多:公司遭遇罕见的网络舆情攻击 已举报

拼多多:公司遭遇罕见的网络舆情攻击 已举报昨日早间，拼多多新闻发言人井然表示，刚上市不到一星期的拼多多受到了广泛的文章质疑，善意的批评拼多多都会接受进行整改，但真相是正在受到罕见的波次网络舆情攻击，并在网络上有专门的团队和人员在维护。

昨日早间，拼多多新闻发言人井然表示，刚上市不到一星期的拼多多受到了广泛的文章质疑，善意的批评拼多多都会接受进行整改，但真相是正在受到罕见的波次网络舆情攻击，并在网络上有专门的团队和人员在维护。据此，拼多多已经正在向国家互联网中心发起举报，详细材料在合适的时候也会向全社会公布。此前有网友在社交媒体上发布“小米新品”电视、“飞利浦陀螺剃须刀”等问题产品，而童话大王郑渊洁、创维集团等在公开场合对于拼多多平台的山寨、盗版问题进行了严正的抗议。受持续发酵的假货问题影响，拼多多股价周一早盘大幅大跌，跌幅一度高达10%。目前报价22.5美元，较前一日报价跌了8.54%。

参考链接：http://www.youxia.org/2018/08/40277.html

黑客事件

惠普将向黑客支付高达1万美元赏金以寻找其打印机漏洞

周二，惠普宣布了第一个专门针对其打印机的bug赏金计划，为能够在其机器上发现漏洞的黑客提供高达1万美元的奖励。Bug赏金是公司发现安全漏洞的常见方式，对于严重漏洞酬金支付可高达10万美元。在恶意使用漏洞之前，黑客已经能够在大公司获得一个全职工作来软件并报告错误。像谷歌和Facebook这样的公司已经将漏洞奖金作为加强其产品安全性的一种方式。

惠普在5月份悄然启动了计划，有34名研究人员报名参加。该公司负责打印机安全的首席技术专家Shivaun Albright上周接受采访时说，它已经向一名发现其打印机存在严重缺陷的黑客支付了1万美元。她说，由于物联网设备的漏洞，该公司专注于打印机安全性。

参考链接：http://hackernews.cc/archives/23705

黑客从KICKICO窃取了价值770万美元的数字货币

黑客从 KICKICO 平台窃取了价值 770 万美元的数字货币，采用的方法比较新颖——销毁现有的币创造同等量的新币到黑客控制的地址。这种方法逃脱了 KICKICO 的监视，因为它没有改变已发行的 KICKICO 令牌数量。黑客首先设法窃取了 KICKICO 智能合同控制的加密密钥。

KICKICO 直到用户投诉钱包内价值大约 80 万美元的数字货币消失之后才知道密钥失窃。KICKICO 称它已经收回了窃取的令牌将其退还给了原拥有者。KICKICO 表示，黑客利用密钥销毁了 40 个地址的数字货币，在另外 40 个地址创造同等量的新令牌。它没有披露黑客是如何窃取到密钥的。

参考链接：https://www.cnbeta.com/articles/tech/752411.htm

传统敲诈改头换面网络勒索 手法更隐蔽、危害更大

2017年5月集中爆发的Wannacry(“想哭”)勒索病毒，至今让全球大量互联网用户心有余悸：该病毒利用漏洞锁定计算机数据和文件，向用户敲诈比特币。据统计，全球超过150个国家、10万家机构组织、100万台电脑遭受该病毒攻击，造成的经济损失超过80亿美元。

这种新型的勒索方式，实际上也掀开了互联网“黑产”的黑幕一角。记者调查发现，近年来随着互联网的迅猛发展，特别是移动互联网的快速普及，过去的敲诈勒索也纷纷改头换面搬到了网上，并且呈现出较过去手法更隐蔽、涉及面更广、危害更大等特点，网络勒索也逐渐发展成一条新兴的地下黑色“掘金”产业链。

黑客入侵勒索，手段不断升级

2017年7月12日，某大型房地产企业发现自己的服务器上数据库被加密，该企业的IT技术人员担心受责罚，隐瞒情况未上报。3个月后，该企业领导才发现该问题，但由于距离加密时间太久，黑客密钥已经过期，被加密的数据和文件无法恢复，给该企业造成了大量财产损失。

经安全厂商人员实际勘测发现，攻击者主要是使用带有恶意附件的邮件进行的钓鱼攻击。受害者点击附件中含病毒的脚本文件后，脚本文件就自动从网络上下载勒索软件，勒索软件会对磁盘上指定类型的文件进行加密，让受害者只能支付赎金解密。

参考链接：http://netsecurity.51cto.com/art/201807/579986.htm

（来源：云天安全搜集整理互联网安全资讯）