第30期

你好呀~歡迎來到“資訊充電站”！小安就是本站站長。今天第30期如約和大家見面了！如果您是第一次光顧，可以先閱讀站內公告了解我們哦。

【站內公告】
本站主要發布時下最火熱最新鮮的網安資訊，不同于正兒八經的權威消息。本站的資訊內容可能會更富趣味性、討論性，工作勞累之余給大家來點趣聞，唠唠嗑，也可以一起充電漲姿勢~目前每周營業周二、周四兩天。

歡迎各位新老顧客前來拜訪，在文章底部時常交流、瘋狂討論，都是小安歡迎哒~如果對本小站的內容還有更多建議，也歡迎底部提出建議哦！

俄羅斯公民意圖向美國公司植入勒索軟件，最終被FBI逮捕

俄羅斯公民爲了給美國公司植入惡意軟件是怎麽做的？

大約在7月28日左右，27歲的 俄羅斯小夥 Egor Igorevich Kriuchkov 使用了他的俄羅斯護照和B1 / B2旅遊簽證進入了美國 ，隨後Kriuchkov用他的WhatsApp帳戶聯系了美國目標公司的一名員工。

然後多次和該公司的該員工見面，讓該名員工幫助他將惡意軟件手動安裝到該公司的計算機網絡中，還要求員工通過分享有關公司基礎架構的信息來參與定制惡意軟件的開發。

根據美國司法部公布的法庭文件，Kriuchkov要求安裝的惡意軟件是爲了從該公司的網絡中提取數據，使攻擊者能在以後威脅該公司，要求該公司支付贖金。
Kriuchkov和他在俄羅斯的同謀向該員工承諾，在成功植入上述惡意軟件後，將支付100萬美元比特幣，並提出對該公司網絡發起DDoS攻擊，以轉移人們對該惡意軟件的注意力。

“如果CHS1 [員工]同意這一安排，他們將提供用于插入電腦的u盤或帶有惡意軟件附件的電子郵件。”

“他的同謀討論了支付該員工的各種方式，包括使用加密貨幣，擔保人保證金或現金支付。”
“在聯邦調查局與他聯系後，Kriuchkov一夜之間從內華達州裏諾開車到洛杉矶。Kriuchkov 要求一位熟人爲他購買飛機票，試圖飛出該國。”

被聯邦調查局逮捕後，聯邦調查局對Kriuchkov及其會議進行了實時監視，Kriuchkov列出了該團夥之前針對的公司，並透露每一個目標公司中都有人在代表該團夥安裝惡意軟件。

值得我們注意的是，一些高調的勒索軟件和數據泄露攻擊很有可能是由內部人士以同樣的方式實施的。
最終，Kriuchkov被控一項共謀罪，意圖故意對受保護的計算機造成損害。

優步前首席安全官因隱瞞數據泄露被起訴，曾付黑客十萬美元封口

南方都市報訊息，調查顯示，2016年10月，有黑客成功入侵Uber數據庫並竊取了5700萬Uber司機和乘客的個人信息，內含姓名、電子郵箱地址、電話號碼等，以及60萬名Uber司機的駕照資料。主管安全事務的沙利文不但沒有通知執法機構，還支付了價值10萬美元的比特幣給黑客，要求其刪除竊取的信息並不得對外聲張。

Uber前任首席安全官喬·沙利文

爲了以合法的方式確保黑客不聲張此事，沙利文還以發現安全漏洞賞金的名義向黑客支付了價值10萬美元的比特幣，並與黑客簽訂保密協議。保密協議中注明，該黑客並未獲取或存儲任何Uber用戶資料，而在當時，沙利文甚至都不知道黑客的真實姓名。

當Uber團隊確認黑客身份之後，沙利文再次要求黑客重新簽署保密協議，同樣宣稱黑客並未取得Uber用戶資料。據報道，當Uber員工向沙利文詢問爲何在保密協議中進行錯誤描述時，沙利文仍堅稱黑客並未取得Uber用戶的資料。

據美國司法部披露，早在2014年9月，Uber就曾遭遇過黑客入侵，美國聯邦貿易委員會（FTC）隨後對此事件展開調查，並要求Uber就相關問題進行書面回複作爲證詞。當時，沙利文被指派爲專員處理此次調查。

此次起訴還指控，在2016年事件的關鍵細節上，沙利文欺騙了Uber的新管理團隊。2017年8月接任Uber首席執行官的多拉·科斯羅莎（Dara Khosrowshahi）也曾要求沙利文彙報2016年的事件，沙利文修改了彙報簡報，刪除了黑客取得Uber用戶資料等細節。

隨後，沙利文在科斯羅莎查明事實後離職，同時也受到美國司法部的調查，並在上周正式被起訴。

只要聽到你用鑰匙開門的聲音，黑客就能 copy 出你的鑰匙

最近新加坡國立大學的一項研究表示，黑客只要聽到你用鑰匙開門的聲音，就能 copy 出你的鑰匙 …

每次用鑰匙開門的時候，都會發出聲音，而不同的鑰匙在開門時也會發出不同的聲音。于是黑客們就研究出一種方法，根據聽到的開鎖聲來做鑰匙。

新加坡國立大學的研究人員表示，黑客可以站在你家門附近錄下你開鎖的聲音；或者黑進你的手機，用他們設計的惡意軟件遠程錄下你開鎖的聲音，然後克隆你的鑰匙。

研究人員表示，他們的系統能夠從一個有 33 萬多種可能密鑰的數據庫中，將正確的密鑰縮小到 3 種！他們將研究重點放在一種常見的鎖——Pin Tumbler Locks 上，當你把鑰匙插進去時，這種鎖會發出咔嗒咔嗒的聲音。

當你把鑰匙插進鎖裏時，它會到達一個 “咬合點”，在這個點上會不同程度地碰到一系列大頭針。一旦達到這些咬合點，鑰匙就可以轉動，需要記錄的也是此時的聲音。

記錄下這個聲音後，黑客通過放慢音頻的速度並對它進行分析，就能夠確定出匹配這把鎖的鑰匙。

研究人員也說了，雖然這聽起來很可怕，但是實施起來並不容易。這項技術還並不成熟，你只需要在開門的時候確保沒有被錄音以及手機上沒有惡意軟件就行了。

原文鏈接：https://www.anquanke.com/post/id/215809