Pradeo发布《手机银行:法规、威胁和欺诈预防》白皮书;研究人员披露流行的Ruby Gem中XSS漏洞

  • A+
所属分类:安全新闻


维他命安全简讯



22


星期二

2020年09月


【分析报告】

Pradeo发布《手机银行:法规、威胁和欺诈预防》白皮书

F-Secure发布2020年上半年网络安全的研究报告

【威胁情报】

专家发现可利用Google App Engine域进行网络钓鱼活动

研究人员披露流行的Ruby Gem中XSS漏洞,尚未被在野利用

【勒索软件】

美国Newhall学区感染勒索软件导致其服务器关闭

ArbiterSports感染勒索软件,54万会员信息被盗



01

Pradeo发布《手机银行:法规、威胁和欺诈预防》白皮书


Pradeo发布《手机银行:法规、威胁和欺诈预防》白皮书;研究人员披露流行的Ruby Gem中XSS漏洞

Pradeo发布了《手机银行:法规、威胁和欺诈预防》白皮书,介绍了有关移动银行的使用、法律框架、风险以及保护移动银行应用程序安全的解决方案(从开发到执行)的详细信息。其中写道,移动银行服务迅速受到消费者的喜爱,到2019年底,74%的英国人和75%的美国人使用移动设备来管理其财务。但是研究表明,手机银行应用往往没有预期的那么安全,据RSA的欺诈和风险情报团队最近收集的数据分析显示,与手机应用相关的欺诈行为在2020年第一季度翻了一番。

   原文链接:

https://www.helpnetsecurity.com/2020/09/21/whitepaper-mobile-banking-regulations-threats-and-fraud-prevention/


02

F-Secure发布2020年上半年网络安全的研究报告


Pradeo发布《手机银行:法规、威胁和欺诈预防》白皮书;研究人员披露流行的Ruby Gem中XSS漏洞

F-Secure调查了今年上半年网络威胁的发展情况,并发布了2020年上半年网络安全的研究报告。报告显示,从今年3月开始,利用各种COVID-19问题的恶意电子邮件显着增加,以诱使用户暴露于各种电子邮件攻击和欺诈中,其中有四分之三的电子邮件中附件中包含信息窃取器。此外,在钓鱼邮件中,金融业是最常被欺骗的行业,电子邮件是传播恶意软件最流行的方式,占所有感染媒介的一半以上。

  原文链接:

https://www.f-secure.com/en/press/p/covid-19-spam--phishing-emails--plagued-users-in-first-half-of-2


03

专家发现可利用Google App Engine域进行网络钓鱼活动


Pradeo发布《手机银行:法规、威胁和欺诈预防》白皮书;研究人员披露流行的Ruby Gem中XSS漏洞

研究人员发现可利用Google App Engine域进行网络钓鱼活动,并不易被企业安全产品检测到。Google App Engine是一个基于云的服务平台,用于在Google的服务器上开发和托管Web应用。Google App Engine在生成子域时任何字段错误都不会显示404未找到页面,而是显示其默认页面。因此,黑客可利用该功能创建无限个恶意钓鱼网站,这也增加了系统管理员阻止该恶意活动的难度。

  原文链接:

https://www.bleepingcomputer.com/news/security/google-app-engine-feature-abused-to-create-unlimited-phishing-pages/


04

研究人员披露流行的Ruby Gem中XSS漏洞,尚未被在野利用


Pradeo发布《手机银行:法规、威胁和欺诈预防》白皮书;研究人员披露流行的Ruby Gem中XSS漏洞

研究人员披露了Action View中的XSS漏洞,其是一种流行的Ruby Gem,可以在Rails Web应用程序框架中处理Web请求,目前该漏洞尚未被在野利用。该漏洞位于Action View用来翻译用户输入的翻译助手中,当一个html不安全的字符串作为缺省值传递给一个名为html或以_html结尾的漏译键时,默认字符串将被错误地标记为html安全且没有转义,这意味着攻击者可以输入伪装成合法的恶意代码。


  原文链接:

https://portswigger.net/daily-swig/action-view-xss-bug-discovered-in-popular-ruby-gem


05

美国Newhall学区感染勒索软件导致其服务器关闭


Pradeo发布《手机银行:法规、威胁和欺诈预防》白皮书;研究人员披露流行的Ruby Gem中XSS漏洞

美国加利福尼亚的Newhall学区遭到勒索软件攻击,导致其服务器关闭,影响了10所不同学校的所有远程教育。该学区的负责人表示,黑客的攻击从周日夜间持续到周一早上,他在试图访问Outlook和电子邮件时收到错误信息而注意到该问题。有趣的是,黑客并没有提出敲诈勒索的需求。


  原文链接:

https://threatpost.com/california-elementary-kids-online-learning-ransomware/159319/


06

ArbiterSports感染勒索软件,54万会员信息被盗


Pradeo发布《手机银行:法规、威胁和欺诈预防》白皮书;研究人员披露流行的Ruby Gem中XSS漏洞

ArbiterSports表示,它已于今年7月遭到了勒索软件攻击。ArbiterSports是一家为体育联赛提供软件来管理裁判和比赛官员的公司,此次事件涉及到其约54万名注册会员,其中包括裁判、联赛官员和学校代表。此次泄露的数据包含用户的敏感信息,例如帐户用户名、密码、真实姓名、地址、出生日期、电子邮件地址和社会安全号码。目前, 该公司表示其已经支付了赎金,并确认黑客组织已删除被盗数据。

  原文链接:

https://www.zdnet.com/article/details-of-540000-sports-referees-taken-in-failed-ransomware-attack/




Pradeo发布《手机银行:法规、威胁和欺诈预防》白皮书;研究人员披露流行的Ruby Gem中XSS漏洞

维他命安全简讯

微信:VitaminSecurity


Pradeo发布《手机银行:法规、威胁和欺诈预防》白皮书;研究人员披露流行的Ruby Gem中XSS漏洞

信息安全那些事儿~

长按二维码关注


发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: