信息安全速览 | 警惕AI诈骗 保护个人隐私数据
2023-3-17 0:00:00浏览量:1024编辑:管理员来源:天畅
根据国家信息安全漏洞库(CNNVD)统计,本周新增安全漏洞508个,漏洞新增数量有所上升。从厂商分布来看谷歌公司新增漏洞最多,有76个;从漏洞类型来看,跨站脚本类的安全漏洞占比最大,达到11.22%。新增漏洞中,超危漏洞35个,高危漏洞122 个,中危漏洞332个,低危漏洞19个。广州天畅信息技术有限公司为您梳理近一周的信息安全行业要闻,探讨信息安全防范知识。
一项名为 Medusa的勒索软件行动已于2023年开始兴起,针对全球企业受害者提出数百万美元的赎金要求。Medusa攻击活动行动于2021年6月,但活动相对较少,受害者很少。然而,在2023年,勒索软件团伙的活动有所增加,并推出了一个“Medusa博客”,用于向拒绝支付赎金的受害者泄露数据。本周,Medusa声称对明尼阿波利斯公立学校 (MPS) 学区的袭击事件负责,并分享了一段被盗数据的视频后,引起了媒体的关注。
2、新版Prometei僵尸网络感染全球超过1万个系统
日前,有消息披露称新版本的Prometei的僵尸网络已经感染了全球超过10000个系统。这些感染没有地域的限制,大多数受害网络在巴西、印度尼西亚和土耳其。自2022年11月以来,名为Prometei的僵尸网络恶意软件的更新版本已感染全球10000多个系统。这些感染在地理上是不分青红皂白的,而且是机会主义的,据报道,大多数受害者在巴西、印度尼西亚和土耳其。Prometei 于2016年首次被发现,是一种模块化僵尸网络,具有大量组件和多种扩散方法,其中一些还包括利用ProxyLogon Microsoft Exchange Server 漏洞。
3、无密码绕过!黑客利用ChatGPT劫持Facebook账户
一名威胁攻击者可能利用ChatGPT恶意扩展泄露包括商业账户在内的数千个 Facebook 账户。威胁行为者可能已经通过复杂的伪造 Chrome ChatGPT 浏览器扩展程序入侵了数千个 Facebook 帐户(包括企业帐户),直到本周早些时候,该扩展程序才在谷歌的官方 Chrome 商店中提供。根据 Guardio 本周的一项分析,恶意的“快速访问聊天 GPT”扩展承诺用户可以快速地与广受欢迎的 AI 聊天机器人进行交互。实际上,它还偷偷地从浏览器中收集了广泛的信息,窃取了所有授权活动会话的 cookie,并安装了一个后门,使恶意软件作者获得了对用户 Facebook 帐户的超级管理员权限。
4、Mirai 恶意软件新变种感染 Linux 设备,以期构建 DDoS 僵尸网络
一个被追踪为“V3G4”的 Mirai 恶意软件新变种异常活跃,正在利用基于 Linux 服务器和物联网设备中的 13 个漏洞,展开 DDoS(分布式拒绝服务)攻击。
5、GitHub大数据:10%程序员至少泄露一条机密信息
GitGuardian扫描了2022年GitHub的10亿次代码提交(较2021年增长20%),结果发现了1000万条机密信息,较2021年增长了67%。此外,调查结果还显示,10%的程序员(GitHub代码提交者)都泄露了至少一条机密信息。超过80%的公开泄露的机密存在于开发人员的个人代码仓库中,其中相当一部分实际上属于公司机密。
黑客组织 KelvinSecurity在网上共享了数百份文件,其中包含俄罗斯Sputnik V新冠肺炎疫苗开发的相关信息,其中部分文件甚至囊括了临床试验中已故参与者的姓名信息。Cyber News通过推特与KelvinSecurity组织联系后获悉,该组织发动此次网络攻击的目的是想证明Sputnik疫苗的治病效率并不高,高效治愈率仅仅是俄罗斯政府的宣传手段。
日前,OpenAI 正式公布了它的多模态大语言模型 GPT-4。GPT-4是多模态模型,这是和 GPT-3的一个显著区别,它的输入输出不再局限于文本,可以是图像或者是视频。简单对比的话,GPT-4和 GPT-3.5的差别可能很小,OpenAI 称当任务的复杂性达到足够的阈值,GPT-4优势就会非常明显,它更可靠,更富有创造性,能处理更细微的指令。GPT-3.5有1750亿个参数,GPT-4的情况未知,可能更多,它的数据训练集仍然停留在2021年9月,但它在测试中的表现远胜于 GPT-3.5。OpenAI 称它在律师考试中的得分能进入前10%,而 GPT-3.5是后10%;在生物奥林匹克竞赛 USABO Semifinal 2020和GRE 写作中能接近满分。但它也存在与 GPT-3.5类似的局限性,就是会产生错误的答案会胡说八道。OpenAI 演示了 GPT-4处理税务问题、图像识别等问题的能力。目前 GPT-4还没有开放给公众试用。
8、人工智能创建的YouTube视频在恶意软件中传播
AI生成的视频充当有关如何获取Photoshop,Premiere Pro等破解版本的教程。人工智能被用来生成视频,假装是关于如何在没有许可证的情况下访问 Photoshop、Premiere Pro、Autodesk 3ds Max、AutoCAD和其他程序的分步教程。取而代之的是,这些视频加载了信息窃取器恶意软件,可以抓取观看者存储在设备上的敏感个人数据。CloudSEK的研究人员测量到,自2022年11月以来,人工智能创建的带有信息窃取恶意软件链接的YouTube视频(包括 Vidar、RedLine 和 Raccoon)的月环比增长了200%到300%。
哪里发生悲剧,哪里就有骗子。在土耳其和叙利亚发生大地震后,金融诈骗犯利用这场自然灾害诱骗人们向慈善机构捐款,谋取私利。
2、黑客创建恶意 Dota 2 游戏模式,秘密部署后门
Dota 2 的玩家注意了,你使用的游戏模式很可能被黑客盯上了。2 月13日消息,未知的威胁行为者为 Dota 2 游戏创建了恶意游戏模式,这些模式可能已经被利用来建立对玩家系统的后门访问。
3、赶紧排查这个零日漏洞!全球已有 130 多家企业组织中招
Clop 勒索软件组织最近利用 GoAnywhere MFT 安全文件传输工具中的零日漏洞,从 130 多个企业组织中窃取了数据。
4、警惕!PyPI Python 软件包存在多种恶意代码
研究人员发现 Python 软件包索引(PyPI)中存在四个不同的流氓软件包,包括投放恶意软件,删除netstat工具以及操纵 SSH authorized_keys 文件。
随着金融产品及服务种类日益丰富,金融广告内容也变得五花八门,但一些不法分子却利用各种渠道平台投放非法金融广告,误导甚至诱骗金融消费者,从而导致金融消费者的人身权益、财产权益等受到损害。
向您索要“两码”的都是骗子!所有索要银行卡密码、验证码的非官方链接,统统关闭。所有索要银行卡密码、验证码的客服电话,统统挂断。
青年人要及时做好家中老人的宣传防范工作。提醒、告诫老年人在接到电话、收到短信时,只要是不认识、不熟悉的人和事,均不要理睬,以免被诱被骗。
短信中如果含有不明链接地址,需要谨慎对待,有疑问应通过银行官网或致电银行客服热线进行咨询,避免被钓鱼的风险。
不要轻易点击不明短信内链接,不在陌生网址输入身份证号、银行卡号、验证码等个人信息。
根据自身需求选择合适的金融产品或服务,勿受“退旧保新”“高收益”等说辞诱导,慎重考虑退保。