网络盾牌 | 1028-印度再度对Google开出反垄断罚单-国际票务巨头See Tickets承认数据泄露-身份欺诈出现新变化

印度再度对Google开出1.13亿美元反垄断罚单；

标签：印度，Google，反垄断罚单

在上周的 1.619 亿美元之后，印度再度对 Google 开出 1.13 亿美元罚单，指控搜索巨人滥用了Google Play Store 的支配地位，命令 Google 允许应用开发者使用第三方支付服务用于内购或应用购买。

印度是 Google 最大的市场，该国 6 亿智能手机中 Android 系统占了 97%。印度竞争委员会是在 2020 年底开始对 Google 展开调查，委员会认为 Google 强制要求应用开发者使用其计费系统构成了强加的不公平条件，违反了印度竞争法。委员会在调查中访谈了小米和三星等 Android 厂商。

信源： https://www.anquanke.com/post/id/282195

国际票务巨头 See Tickets 已承认数据泄露长达两年半；

标签：国际，票务巨头，See Tickets，数据泄露

据BleepingComputer 10月25日消息，国际票务服务公司 See Tickets 披露了一起数据泄露事件，时间长达两年半。

据称，See Tickets于2021年4月在一家调查公司的协同下确认了这一泄露事件，但直到2022年1月，恶意代码才从网站上彻底清除。内部调查显示，攻击始于2019 年 6 月 ，因此数据泄露很可能已经持续了长达两年半的时间。而受影响的客户数量未知，See Tickets 尚未澄清是否仅了全球的站点都受到了影响。

调查揭示，攻击者可能通过盗刷器访问了用户的支付卡详细信息，具体是在订单结帐页面上注入恶意JavaScript 代码片段，用于窃取用户输入的支付卡详细信息，包括：

See Tickets 表示，用户社会安全号码、身份证号码或银行账户信息没有被泄露，因为它们没有存储在其系统中。但介于攻击者已经窃取的数据类型，See Tickets 警告用户应警惕未经授权的信用卡交易和身份盗用。

See Tickets 已经将相关信息告知了受影响的用户，但没有为他们提供免费的身份保护服务，因此被泄露信息的客户只能自己处理安全漏洞带来的后果。

信源：https://www.bleepingcomputer.com/news/security/see-tickets-discloses-25-years-long-credit-card-theft-breach/

在公开的 S3 存储桶中发现了数千个密钥；

标签：S3 存储桶，密钥，未经身份验证

S3存储桶是将文件存储在AWS中的常见场所。这些存储桶具有一项功能，允许您在未经身份验证的情况下使互联网上的任何人可以读取您的文件。如果内容是供公众消费的，例如为网站存储HTML、CSS和JS资产，那么此功能可能非常有用，但它是一把双刃剑。这些文件通常包含敏感信息，这导致了几次备受瞩目的安全事件，包括：

• 最近与Twilio发生的一起事件

• 道琼斯数据泄露

• Verizon Wireless数据泄露

通常，暴露的数据是所报告故事的结尾，但我们发现它通常不是安全故事的结尾。由于我们最近向TruffleHog添加了S3支持，我们认为扫描一组公开暴露的存储桶以获取凭据将是领先于潜在安全事件的好方法，我们最终发现了跨越数百名客户的数千个不同密钥。

方法

我们需要做的第一件事就是汇编一个打开的S3桶列表。幸运的是，存储桶名称是全局唯一的，可以通过子域指定。例如，如果一个桶被命名为“trufflehogbucket”，则可以通过以下网址访问文件：https://trufflehogbucket.s3.amazonaws.com/filename。由于DNS流量通常是未加密的，许多存储桶名称是通过DNS水龙头收集的。一些供应商，如RiskIQ，通过他们的PassiveTotal API公开这些数据。

grayhatwarfare等其他工具采取了不同的方法，生成大量可能的存储桶名称列表，并向S3 API发出请求，以确定存储桶是否存在并包含公开暴露的文件。使用这些和其他技术，我们建立了最初的桶列表。扫描所有暴露的数据很快就变得不切实际，因此我们需要一种方法将列表缩小到可能包含密钥的桶和文件。幸运的是，greyhatwarfare的API还允许您搜索文件的名称，因此我们搜索了“.credentials”、“.env”等常见名称，并且只搜索了包含匹配文件的扫描桶。

结果

在扫描了大约4000个包含.env文件和.credentials文件的桶后，我们发现一个包含密钥的文件平均有2.5个密钥，其中一些在文件中有高达10多个密钥。

我们还发现了各种各样的凭证类型，包括：

• AWS密钥

• GCP服务帐户

• Azure Blob存储连接字符串

• Coinbase API密钥

• Twilio API密钥

• Mailgun API密钥

• RDS密码

• Sendgrid凭据

• Pusher凭据

• MSSQL密码

• Mailtrap凭据

• Google OAuth凭据

• Twitter OAuth凭证

• 在OAuth凭据中链接

• 谷歌地图API密钥

• Segment API密钥

• Sauce API密钥

• 托管MongoDB凭据

• Firebase凭据

• Stripe凭据

• Rollbar凭据

• Twilio证书

• Amplitude凭据

• Mailjet凭据

• SMS伙伴凭证

• Dropbox凭据

• Yousign凭据

• PayPal凭证

• Mandrill证书

• Zendesk凭证

• 托管消息队列连接字符串

• Razor pay凭证

• 文本本地凭据

• 应用程序签名密钥

• JWT签署密钥

冲击放大镜：可蠕动性

从周围的上下文中可以清楚地看出，其中许多凭据可以解锁更多以其他方式经过身份验证的存储桶。这里有两个例子

泄露的凭据导致更多的存储桶

由于隐含的更高安全栏身份验证提供了隐含的安全性，假设经过身份验证的存储桶比未经身份验证的存储桶包含更多的密钥可能是公平的。这意味着攻击者可能会使用第一轮桶来找到解锁额外一轮桶并暴露更多密钥的钥匙，这可能会暴露更多的桶等。出于明显的原因，我们没有使用任何这些密钥或探索这种可能性，但这使这种类型的攻击“蠕虫”，即一个桶可以导致另一个桶，等等，放大了泄漏的影响。

穿过S3桶

更糟糕的是，其中一些密钥导致了其他可能可以访问密钥的大型数据存储，例如Github API密钥和GCP存储API密钥。

通过多个提供商进行 Worming

下一步

当然，在这一点上，我们需要向受影响的公司披露我们的发现。这有时证明具有挑战性，因为桶通常没有很多信息将它们与桶创建者联系起来。我们进行了数百次披露，并在某些情况下与提供商合作，为无法识别所有者的桶撤销密钥。披露范围从数十家财富500强公司到非政府组织和小型初创公司。

在任何规模上，最好定期扫描所有桶，以防止灾难。

信源：https://zone.huoxian.cn/d/2628-s3

七分真、三分假！身份欺诈威胁出现新变化；

标签：身份欺诈，威胁变化

近年来，尽管企业组织在打击身份欺诈方面取得了很大进展，但如今又出现了一个新的且不断上升的威胁：合成身份欺诈(synthetic identity fraud)。通过在数字平台上将真实和伪造的信息进行组合，网络犯罪者能够轻松地实施此类欺诈活动。多项最新的研究数据显示，合成身份欺诈已经成为目前造成组织财产损失的“新天坑”！

• 麦肯锡研究所称，合成身份欺诈（SIF）是增长最快的金融犯罪形式之一；

• 根据联邦贸易委员会（FTC）的数据，目前合成身份欺诈占所有身份欺诈的85%，而传统身份窃取仅占身份欺诈的10-15%；

• 身份验证服务商Socure最新发布的分析报告指出，美国基于合成身份的欺诈犯罪造成的损失将从2020年的12亿美元飙升至2024年的24.8亿美元。

• Aité-Novarica集团最近对网络安全团队进行的一项调查显示，合成身份欺诈是他们在不久的将来最担心的头号安全威胁。

为了更好地防御此类攻击，我们必须高度重视合成身份欺诈威胁并对其有个清晰全面的了解。

什么是合成身份欺诈？

与传统身份盗窃不同，合成身份欺诈特别优化了不可追溯性。网络犯罪分子利用个人身份信息（PII）碎片，并将其与虚假标识符交织在一起，使得缺乏网络安全意识和团队的组织更难发现身份盗窃的事实。

合成身份欺诈，就像其名称表示的那样：它是真实和虚假信息的结合。例如，欺诈者会获取真实的姓名、地址和生出日期等信息，然后将其与虚假的身份账号相结合。这些账号通常来自一些弱势群体，因为他们不太可能主动监控自己的信用评分和账号安全。

合成身份欺诈主要包括两种类型：

篡改合成身份（Manipulated synthetic）——使用真实身账号和真人身份的其他元素，但稍加篡改形成虚假身份。例如，欺诈者可能会使用真实的账号和假名字创建一个假身份，以隐藏不良的信用记录通过贷款审核。这种方式并非总是用于恶意目的。

人造合成身份（Manufactured synthetic）——使用来自不同个人的合法PII来创造一种伪造身份，通常被称为“弗兰肯斯坦”（Frankenstein）身份，目的主要是为了实施金融犯罪。

在合成身份欺诈案件中，欺诈者通常会用几个月或几年的时间来建立一个虚假的信用档案。在这段时间里，他们会开一个银行账户，办理信用卡，及时还款，建立良好的信用。随着他们的信用额度上升，他们会申请越来越大的信用额度，但最终结果都是在所谓的“信用破产”中消失。

欺诈者可能会窃取真实用户的信息或直接在暗网上购买，然后将其与假身份相结合。据领先的欺诈预防公司GIACT最近发布的一份白皮书称，估计40%的SIF身份是利用从2011年以后出生的孩子那里窃取的信息构建的。

一些犯罪分子甚至会使用一个身份证号来创建多个身份。然后，他们可以使用窃取的身份证号大量开设新账户。在某些情况下，欺诈者还使用窃取的身份证号来申请医疗保险、医疗补助、失业保险和SNAP（紧急补充营养援助）等福利。欺诈者还可以利用自动化系统在短时间内使用一个身份证号码创建数十万个信用卡应用程序。

合成身份欺诈盛行的原因

身份验证软件公司SentiLink的研究发现，一个合成身份平均只需要20个月左右的时间，就能构建成“优质”级信用评分，为金融机构带来的平均损失高达13,000美元。益百利（Experian）2021年的一份报告发现，欺诈者甚至为生物识别验证创建了假面孔。这些“弗兰肯斯坦脸”利用人工智能将不同人的面部特征结合起来，创造出一张新脸以成功破解面部识别技术。

目前，合成身份欺诈已经是金融科技领域增长最快的网络风险，以下是推动其盛行的主要原因：

• 欺诈行为增长的一个主要原因是数据泄露的频率和规模不断增加；

• 暗网活动猖獗使得从数据泄露中窃取PII变得更加容易，同时还加速了合成身份的分发和销售；

• 合成欺诈可以伪装成“良好的”消费者行为。美联储的一项分析发现，70%的疑似身份欺诈案例前期会表现出典型的消费者模式；

• 对合成身份的检测非常困难，导致许多公司直接将案件作为坏账注销，这使得诈骗者有恃无恐；

• 消费者对更快更简单的账户注册过程的渴望是这类欺诈传播的另一个推手。越来越少的个人账户设置，以及更容易的在线注册，使得诈骗者更容易利用它；

• 加剧合成身份欺诈危害性的是，它通常数月都不为人知。由于所使用的PII通常只是一条信息，而非完整个人信息，因此个人对盗窃行为的识别往往被延迟或根本无法识别；

• 由于犯罪分子使用的先进技术，诈骗的可扩展性促进了其增长和有效性。一旦欺诈者确定了目标，该技术就能使他们迅速扩大规模，实施大规模攻击；

• 网络犯罪分子对先进技术的利用也导致了欺诈的新变种，进一步加剧检测难度。

研究人员发现，只要虚假身份存在于合法信用机构的记录中，大多数金融机构都会接受这个身份记录作为一个用户真实存在的证明，并允许他们使用这个证明开设账户。更重要的是，当一种新型网络攻击出现时，安全专家需要时间来识别、分析并制定对策。然而，残酷的现实是，当前组织的控制措施并不能很好地应对这种攻击方式。

合成身份欺诈的危害

由于合成身份是通过技术手段合成产生，而非直接窃取真实身份，因此，合成身份欺诈的可追溯性远远低于普通身份诈骗。这就产生了几个问题：

• 传统身份下的诈骗活动更容易被发现。当一个人的真实身份被窃取时，金融机构可以提醒他们账户上的任何异常活动，比如从一个不熟悉的IP地址登录。然而，欺诈者可以使用合成身份将账户开放数月甚至数年，建立自己的信用评分，获得越来越大的信用额度，当达到信用额度的最大值时就消失得无影无踪。

• 在合成身份欺诈攻击中，难以掌握欺诈活动的明确证据。这使得识别欺诈问题变得困难，甚至很难知道已有的防御措施是否有效。

• 未成年人正成为此类攻击最有可能的受害者。卡内基梅隆大学CyLab的一项研究表明，未成年人身份信息在合成身份欺诈中使用的可能性是成年人的51倍。这是因为孩子们没有信用报告，信用报告机构通常的做法是建立一个新文件。

更糟糕的是，合成身份欺诈的影响是很难衡量的。一方面，合成身份欺诈很难被发现，而且一旦被发现，也没有标准化的流程来记录这些损失。一些银行机构可能将损失记录为信用损失，而其他的企业组织可能将损失解释为第三方欺诈。因此，合成身份欺诈的威胁与危害还在翻倍增加。

合成身份欺诈防御建议

尽管阻止合成身份欺诈困难重重，但是有很多银行机构和企业组织开始改进身份验证机制，以证明实际用户与应用程序中的用户相同。通过利用包括设备数据和外部数据源在内的综合身份情报信息，可以帮助组织保护自身和客户安全。

研究人员表示，新型实体解析技术的应用对于阻止合成欺诈将至关重要。实体解析可以将来自众多来源的数据汇总在一起，从而更容易识别信息差异，从而更早期地识别合成身份欺诈。实体解析会查看应用程序或信用报告上有关人员的所有信息，分析他们是否使用一致的地址、电话号码、电子邮件地址、姓名拼写和其他信息。

除此之外，企业组织还需要更密切地监视网络，因为有组织的犯罪团伙往往会留下相互关联的足迹，而这些足迹可以使用正确的技术和工具进行检测。企业将需要找到更好的解决方案，通过新一代网络数据分析技术来跟踪资金的来源和流向，识别可能出现欺诈的交易行为模式。

对于个人用户而言，虽然很难判断自己的身份是否被合成身份欺诈所利用，但仍然要一些异常出现的指标保持警惕。例如，个人信用评分突然下降、银行对账单存在异常、被通知有一个从未开过的账户或者一笔没有欠过的债务等。如果您已经成为此类攻击的受害者，请尽快通知信用报告机构和警方，要求他们展开调查，尽快删除虚假信息。为了预防合成身份欺诈，每个人都应该保持警惕，不要在社交媒体平台分享过多的信息。

信源： https://www.csoonline.com/article/3677188/financial-losses-to-synthetic-identity-based-fraud-to-double-by-2024.htmlhttps://www.springboard.com/blog/cybersecurity/synthetic-identity-fraud/

超2000万的安装量，Google Play已成恶意广告程序的温床；

标签：Google Play，恶意广告程序

McAfee的安全研究人员发现，GooglePlay官方商店里有16个恶意点击的应用程序，安装次数超过2000万次。其中一个名为DxClean的应用程序的安装次数更是超过500万次，搞笑的是，其用户评级竟然还有4.1分(满分5分)。

这类伪装成应用程序的广告软件，常常表现为在不可见的框架中或在后台加载广告并点击它们，为背后的攻击者创造收入。

最近，McAfee移动研究小组发现了潜入GooglePlay的新Clicker恶意软件。McAfee发表的报告中说:”总共有16个以前在GooglePlay上的应用程序被证实有恶意的有效载荷，大约有2000万次安装。”

攻击者将恶意点击代码隐藏在较为实用的应用软件中，如手电筒(Torch)、QR阅读器、 Camara、单位转换器和任务管理器。

恶意点击程序通过FCM消息（Firebase Cloud Messaging）传播，当应用程序收到符合某些条件的FCM消息时，相关功能就会在后台启动。FCM消息包括多种信息，比如要调用的函数和要传递的参数。”

通常情况下，这些功能会指示设备在后台访问网站，同时模仿用户的行为。这可能会消耗大量的网络流量和电力，同时通过在用户不知情的情况下点击广告为攻击者创造利润。

专家们在这些点击器应用程序中发现了两段代码，一个是”comclickcas”库，用于实现自动点击功能，第二个是”com.liveposting”库，作为一个代理，运行隐藏的广告软件服务。

目前安全公司分享了McAfee专家报告的所有16个Clicker应用程序，并且已从GooglePlay中删除。“Clicker恶意软件以非法广告收入为目标，可以破坏移动广告生态系统。恶意行为被巧妙地隐藏起来，难以被用户发现。”

最后，安全专家建议安装并激活一个安全软件，这样用户可及时了解设备上存在的任何移动安全威肋的通知。及时删除这些恶意应用程序，不仅可以延长电池使用时间，也可以大大减少流量的消耗，保护用户个人信息和数据安全。

信源：https://securityaffairs.co/wordpress/137549/malware/clicker-apps-google-play.html