你不知道的网络安全威胁（下）

    黑客尝试入侵酒店客房与POS系统

    来自Rapid7公司的安全研究人员Weston Hecker开发出一款成本仅为6美元的工具，但其足以开启酒店房门及攻克销售点系统。

    相信没人指望酒店的电子锁能挡得住黑客们的入侵——但真正令人惊讶的是，技术人员仅使用一款成本为6美元的工具就完成了这一目标。

    来自Rapid7公司的安全研究人员Weston Hecker打造出一款成本极低的小型设备，可用于开启各类酒店房门。

    这款设备只有一张磁卡大小，亦可用于入侵销售点系统与现金出纳机。

    去年，知名黑客Samy Kamkar设计出一款名为MagSpoof的工具，这款成本低廉的小工具（成本为10美元）能够预测并存储数百张美国运通（AMEX）信用卡信息，并利用其进行无线交易。这款小工具实际上是一款信用卡/磁卡欺诈装置，这套包含有微控制器、驱动马达、电线、电阻器、开关、LED以及一块电池的设备还适用于有线支付终端。

    现在，Weston Hecker对Kamkar的MagSpoof做出了进一步改进，事实上这款成本仅为6美元的新工具能够直接读取并复制电子钥匙。该工具还可以针对门锁发动“暴力破解”攻击，从而顺利开启房门。

    攻击者可以利用此工具访问酒店客房钥匙中的信息，具体包括对开数编码输出结果、酒店房间号以及结账日期等等。

    黑客可以将该工具靠近读卡装置，并利用以上信息的任意组合进行暴力破解。这款工具速度极快，每分钟可以进行48次钥匙组合猜测。

    “在此之后，他会了解到钥匙副本中有哪些数据字段需要猜测，”《福布斯》杂志的Thomas Fox-Brewster写道。

    “黑客随后可以前往某间酒店客房，手持Hecker的工具贴近读卡装置，并运行由上述细节信息组成的密钥组合尝试，直到试出正确的组合（即密钥）。”

    这款设备之所以速度极快，是因为与Kamkar设计的原始工具相比，其可利用多条天线以负载均衡方式实现并发工作。

    “可以将其视为一种负载均衡机制，”Hecker在接受《福布斯》杂志采访时解释称。“当一根天线过热，其即会转移至另一根天线。”

    这台设备可用于入侵销售点系统（即PoS机），并可通过磁条读取装置注入键盘敲击内容。

    Weston Hecker本周将在拉斯维加斯举行的DefCon大会上演示该设备。

    黑客利用木马窃取数据，受害者被迫沦为“傀儡”

    近期出现一款新型木马，专门收集目标受害者信息，黑客便以此勒索受害者为其行事。组织机构需防范内部威胁。

    威胁情报公司Diskin Advanced Technologies（以下简称DAT）发现一款名为“Delilah”的恶意软件，这款软件大概参照圣经人物—主要针对地下网络犯罪。非公开的黑客组织间共享此软件。

    Gartner著名分析师Avivah Litan表示，访问并尝试从某些特定成人与游戏网站下载的用户会受此木马感染。

    一旦安装，该恶意软件会收集目标受害者的个人信息，包括家庭和工作场所信息。同时还部署插件让黑客远程打开受害者的网络摄像头并进行记录。黑客利用窃取的信息操纵受害者。

    Litan在博文中解释道，“根据DAT所述，黑客给受害者下达的指示通常包括使用VPN服务、TOR以及删除浏览历史（可能为了移除审查跟踪）。”

    “这种木马程序还要求高水平人工参与识别并优先确定勒索对象作为内部人员攻击目标机构。如果缺乏这些特定技能，想使用该木马的罪犯还能获取托管的社会工程和欺诈服务。”

    很明显，该木马尚未完善，当使用网络摄像头间谍功能时会报错并导致画面冻结。

    Litan认为需要更多VPN和TOR活动更好了解此威胁性质。她还补充道，IT安全小组应该封锁某些危险网站降低风险。

    Litan总结道：“有了像Delilah这样的木马，组织机构应该期望内部招募进一步快速升级。这只会让内部威胁数量不断增加，因为心怀不满的员工为了伤害雇主会在暗网出售服务。”

    2015年12月卡巴斯基实验室的研究指出，近四分之三的公司已遭受内部威胁事件。

    语音验证有漏洞 黑客每年可从Google、Facebook和微软盗窃数百万欧元

    比利时安全研究员Arne Swinnen发现通过双因素语音验证系统一年能从Facebook、Google和Microsoft公司盗窃数百万欧元。

    许多部署双因素认证（2FA）的公司通过短信息服务向用户发送验证码。如果选择语音验证码，用户会接收到这些公司的语音电话，由机器人操作员大声念出验证码。

    接收电话通常为与这些特定账户绑定的电话号码。

    从理论上讲，攻击者还可以攻击其它公司

    Swinnen通过实验发现，他可以创建Instagram、 Google以及Microsoft Office 365账号，然后与高费率（premium）电话号码绑定也不是常规号码。

    当其中这三个公司向账户绑定的高费率电话号码提供验证码时，高费率号码将登记来电通话并向这些公司开具账单。

    Swinnen认为，攻击者可以创建高费率电话服务和假Instagram、Google或Microsoft账号，并绑定。

    Swinnen表示，攻击者能通过自动化脚本为所有账号申请双因素验证许可，将合法电话呼叫绑定至自己的服务并赚取可观利润。

    攻击者可赚取暴利

    根据Swinnen计算统计，从理论上讲，每年可以从Instagram赚取206.6万欧元，Google 43.2万欧元，以及Microsoft 66.9万欧元。

    Swinnen通过漏洞报告奖励计划向这三家公司报告了攻击存在的可能性。Facebook给予他2000美元的奖励，Microsoft的奖励金额为500美元，Google在“Hall of Fame”（名人堂）中提及他。

    Arne Swinnen先前还发现了Facebook的账户入侵漏洞，并帮助Instagram修复登录机制，防止多种新型蛮力攻击。

    黑客们盗取联网车辆的六种高科技手段

    未来，您的爱车将不仅仅作为交通工具存在，但其中更为丰富的信息也会吸引到更多犯罪分子。

    奔驰在互联网高速公路上

    我们的车辆包含有多种重要的个人信息，例如通讯录、登记以及保险等等，甚至包括财务数据乃至家庭住址等等。一旦这些信息被攻击者获取，那么更多危害后果或将接踵而来。

    伴随着更多高精尖技术的涌现，车辆盗窃活动本身也发生了转变。目前的车辆虽然更智能也更易于同网络对接，但这也给攻击者们留下可乘之机——而他们正是所谓“联网车辆窃贼”。作为针对此类状况提供恢复与高级车队管理解决方案的厂商，LoJack公司提供了以下新时代窃贼们最为惯用的技术手段。

    01

    车辆克隆

    “车辆克隆”是一种新型先进盗车手段，经验丰富的贼人能够为目标车辆创建并安装一条伪造的车辆身份编号（即VIN），从而获得控制权。这种方法用于盗取高端豪车，并将其神不知鬼不觉地转卖到海外市场。黑客随后可利用盗取的VIN变更车主信息，或者伪造新文档以隐藏车辆的真实身份。

    02

    车辆赎金

    目前勒索软件正在大行其道，这类攻击活动利用恶意软件对数字数据进行加密，并要求受害者支付赎金以完成信息解绑。由于联网车辆开始逐步充当活动热点的角色，黑客会经由WiFi热点入侵车辆并完成“绑架”活动。举例来说，不久的未来他们能够轻松侵入车辆，禁用发动机及制动器，并要求车主支付比特币以赎回对车辆的使用权。

    03

    利用扫描设备作为智能钥匙

    联网车辆盗贼开始利用扫描设备，或者那些能够可作为智能钥匙的装置完成自己的罪恶目标。这些攻击者们可借此完成车辆解锁、启动，且过程中无需触碰任何实体按键。一旦智能钥匙与扫描设备间的距离缩小到一定程度，其传输信息即会被破解。目前这个问题在美国已经得到高度重视。

    04

    盗窃团伙瞄准豪华车型

    根据LoJack公司发布的2015年车辆恢复报告所指出，目前窃贼们越来越多地以团伙形式行动，并将目标设定为价格高昂豪华车身上。他们随后将其拆分为零件、重新销售甚至是发往海外。这些豪华车型的价格普遍超过3万美元，而2015年遭窃情况最严重的高端车型包括路虎揽胜、福特F系列以及宝马X系列等等。这些盗窃团伙经常利用复杂的方案，例如获取并复制智能钥匙，实施偷盗，并使用偷来的信用卡与假身份进行车辆二次销售。

    05

    远程劫持

    远程劫持在去年着实火了一把，人们亲眼见证了吉普切诺基是如何被攻击者通过互联网所控制的。目前地点导航及内置GPS在很多现代车型上已经非常普遍，而其实现基础全部为连接电信网络。但这样一来，网络攻击活动就有可能影响到此类车辆，甚至彻底接管其导航系统。

    06

    数据引发身份盗用

    时至今日，联网车辆中包含的信息及个人数据远超以往，这意味着我们正面临着更为严重的身份被盗威胁。盗贼不仅想要我们的车，更想要我们的“人”（身份）。信用卡信息、身份证号码、驾照信息等一旦泄露，我们的网络账户将很可能被其全面盗用。

    黑客可通过宝马门户网站漏洞篡改BMW车辆的设置

    宝马ConnectedDrive门户网站存在的两大漏洞可以让攻击者原创操纵与宝马信息娱乐系统有关的车辆设置。

    ConnectedDrive，德国BMW公司于2006年联手Google公司开发的“联网驾驶”服务，也是宝马车载信息娱乐系统的名称。该系统可以在车内使用，或可以通过一系列连接的移动应用程序让司机通过移动设备管理车辆设置。除了移动应用程序，该服务还有网页版。

    Vulnerability Lab的安全研究人员Benjamin Kunz Mejri昨日公布ConnectedDrive门户存在的两个零日漏洞，宝马过去5个月未对这两大漏洞进行修复。

    漏洞#1：VIN会话劫持

    会话漏洞允许用户访问另一用户的VIN—车辆识别代码。

    VIN是每个用户帐号的车辆ID。VIN码备份车辆ConnectedDrive设置到用户的帐号。在门户网站更改这些设备将更改车载设置以及附带应用程序。

    Mejri表示，他可以绕过VIN会话验证并使用另一VIN访问并修改另一用户的车辆设置。

    ConnectedDrive门户的设置包括锁定/解锁车辆，管理歌曲播放列表、访问电子邮件账号、管理路由、获取实时交通信息等。

    漏洞#2: ConnectedDrive门户的XSS

    第二个漏洞就是门户密码重置页面存在XSS（跨站脚本）漏洞。

    这个XSS漏洞可能带来网络攻击，比如浏览器cookie获取、后续跨站请求伪造（Cross-site request forgery，缩写CSRF）、钓鱼攻击等。

    Mejri声称，他2016年2月向BMW报告了两大漏洞。由于宝马没有及时回应Mejri的漏洞报告，于是Mejri将漏洞公开。

    差不多一年前，安全研究员Samy Kamkar揭露，OwnStar汽车黑客工具包攻击过宝马远程服务。