安全专栏 

2025/6/16-2025/6/20

江南信安网络安全汇总专栏，每周为您提供网络安全领域「标准规范、安全热点、行业发展、深度好文、融资信息」等最新资讯的追踪与共享。

Instagram平台上出现了大量冒充加拿大蒙特利尔银行(BMO)和EQ Bank(Equitable Bank)的欺诈广告，利用AI深度伪造技术和官方品牌形象来诱骗用户提供个人金融信息。

安全研究人员发现，这些广告通常采用两种手法：一种是模仿银行官方品牌和配色方案，承诺非常可观的利率(如4.5%)，点击后会跳转至钓鱼网站；另一种是使用AI生成的深度伪造视频，冒充BMO首席投资策略师Brian Belski，诱导用户加入所谓的"私人WhatsApp投资群组"。值得注意的是，这些诈骗广告账户在Instagram上并不存在，而是通过Facebook页面操作。诈骗者巧妙地重新利用现有Facebook页面(如"BMO Belski"页面原名为"Brentlinger Matt Blumm")，以规避新创建账户可能引发的怀疑。

尽管相关欺诈广告已被举报，但Instagram仍未及时删除。安全专家建议用户谨慎点击社交媒体广告，即使它们看似来自正规机构，并验证所有链接是否为官方域名。

原文链接：

https://www.bleepingcomputer.com/news/security/instagram-bmo-ads-use-ai-deepfakes-to-scam-banking-customers/

瑞典汽车制造巨头斯堪尼亚(Scania)近日证实遭遇网络安全事件，威胁行为者利用被盗凭证入侵其金融服务系统，窃取了保险理赔文件。

斯堪尼亚是一家隶属于大众集团的重型卡车、客车，以及工业和船舶发动机制造商。上周末，威胁监控平台Hackmanac在黑客论坛上发现，一名自称"hensi"的攻击者公开兜售据称从"insurance.scania.com"窃取的数据，并声明这些信息仅面向单一买家独家交易。斯堪尼亚证实，攻击者于5月28日利用被信息窃取恶意软件盗取的外部IT合作伙伴凭证入侵了其系统，获取了用于保险目的的系统访问权限。保险理赔文档可能包含个人和敏感的财务或医疗数据，因此这一事件可能对受影响者产生重大影响。

入侵后，攻击者使用@proton.me电子邮件地址直接联系斯堪尼亚员工进行勒索，随后在黑客论坛上发布了被盗数据样本。受影响的应用程序目前已无法在线访问，相关调查已经启动。同时，斯堪尼亚表示已就此事件通知了隐私保护机构。

原文链接：

https://www.bleepingcomputer.com/news/security/scania-confirms-insurance-claim-data-breach-in-extortion-attempt/

安全研究人员发现了一个被命名为"GerriScary"的关键供应链漏洞(CVE-2025-1568)，该漏洞可能允许攻击者向至少18个主要谷歌项目注入恶意代码，包括ChromiumOS、Chromium、Dart和Bazel等。

GerriScary漏洞利用三个相互关联的组件实现未授权代码提交：首先，Gerrit的默认配置向所有注册用户授予"addPatchSet"权限，允许任何拥有谷歌账户的人修改现有代码更改；其次，易受攻击的项目在"Copy Conditions"设置中存在逻辑缺陷，这些设置决定了先前代码审查的批准标签是否会延续到新版本；攻击者可以利用与自动提交机器人之间的竞争条件，在标有"Commit-Queue +2"的代码更改被自动合并前的短暂时间窗口内注入恶意代码。

在ChromiumOS和Dart仓库中，这个时间窗口约为五分钟，而其他谷歌仓库仅提供几秒到几分钟的时间。研究人员通过分析尝试修改提交消息时的HTTP响应代码来识别易受攻击的项目，"209"状态码表明存在所需权限且不会在项目日志中留下可疑记录。受影响的项目涵盖多个领域，包括ChromiumOS（Chrome OS设备的基础）、Dart（Flutter的编程语言）、Dawn和BoringSSL（Chromium第三方依赖）、Bazel（谷歌的构建系统）以及Gerrit本身等。

谷歌已迅速响应并实施了多项修复措施，包括重新配置受影响项目的标签持久性设置，确保新补丁集需要重新进行代码审查和验证，并从注册用户中移除"addPatchSet"权限。

原文链接：

https://cybersecuritynews.com/gerriscary

6月16日，外交部发言人郭嘉昆主持例行记者会。彭博社记者提问，《华盛顿邮报》正在调查一起针对其部分记者电子邮件账户的网络攻击事件，并援引匿名消息人士的话称，此次黑客攻击可能是外国政府所为。报道称，包括报道中国新闻在内的国家安全和经济政策团队的记者都成为了攻击目标。请问中方对此有何评论？

“我不了解你提到的具体情况。”郭嘉昆表示，网络攻击是各国面临的共同的挑战，中方一贯坚决反对并依法打击各种形式的网络攻击，愿意通过对话合作与各方一道共同应对网络威胁。

原文链接：

https://mp.weixin.qq.com/s/p4-EBq34DlFNPQdWdq2PjA

5、学术申请背后的风险： 境外间谍"钓鱼"邮件瞄准我国关键领域

“国家安全部”微信公众号6月17日公布一则境外间谍企图针对我国科研机构的网络"钓鱼"案例。

在这起典型案例中，某知名大学前沿科技领域专家杨教授收到一封署名"小王"的"研究申请"邮件。邮件内容措辞模糊，附件为加密Word文档"简历"。当杨教授询问研究领域时，对方直接回复"舰船装备"，引起高度警觉。杨教授立即向国家安全机关举报。

经查，该邮件带有双重窃密目的。境外间谍情报机关企图以“研究申请”邮件名义定向勾连套取我国防军工领域敏感信息，如目标对象警惕意识不足，则可能落入对方圈套。但更值得注意的是，其名为“简历”的附件实际内置了境外间谍情报机关专研的木马程序，一旦目标对象打开文档，便会触发木马程序，攻击者可轻易控制该计算机并任意窃取其中的数据资料。

国家安全机关提醒，近年来，境外间谍情报机关频繁使用“钓鱼”邮件的手段开展网攻窃密，目标直指我党政机关、国防军工单位、高校、科研院所等核心要害部门，试图窃取我重要敏感领域信息，手法复杂多变，迷惑性极强，威胁我国家安全，需引起高度重视。

原文链接：

https://mp.weixin.qq.com/s/LEBFq1wIh9Klo6rt5XPXXg

1、调查：AI安全明显滞后，仅13%的企业部署了专门防护措施

近期，部分企业因未依法履行数据安全保护义务，其相关系统、服务器或数据库存在未授权访问漏洞和弱口令漏洞问题，造成数据被窃取，北京市网信办依法对涉案企业进行了查处。

其中，北京某科技公司在开展业务过程中，未对后台业务系统的接口配置访问控制和身份认证等安全措施，导致该系统存在未授权访问漏洞，使储存于其中的姓名、身份证号、手机号等个人信息数据暴露于互联网，并被境外IP访问窃取。

北京某有限公司在开展业务过程中，为方便系统测试，将ES数据库的9200端口对外开放且未限制访问，导致ES数据库存在未授权访问漏洞，使储存于其中的姓名、手机号等个人信息数据暴露于互联网，并被境外IP访问窃取。

针对以上违法情况，北京市网信办依据《中华人民共和国数据安全法》第四十五条，分别对上述两个公司作出警告，并处五万元罚款的行政处罚。下一步，北京市网信办将针对数据安全保护义务履行不力，造成重要数据遭窃取的违法违规行为加强监督执法，营造安全稳定的网络环境。

原文链接：

https://mp.weixin.qq.com/s/Fzt00_CXsooCHWtWGutL7g