黑客利用宝马网站发起钓鱼攻击
SAP重定向漏洞会影响SAP产品(SAP NetWeaver Application Server Java)网络应用服务器的安全,这就意味着任何人都可以通过添加字符串来伪造重定向链接。
例如,你在子域名中添加字符串:
“sap/public/bc/icf/logoff?redirecturl=https://maliciouswebsite.com”
但实际上的URL是这样的:
“https://<...>.bmw.com/sap/public/bc/icf/logoff?redirecturl=https://maliciouswebsite.com”
“这表明攻击者只需要通过操纵受影响的SAP系统的URL参数,就可以将用户重定向到恶意网站,或者将任意内容注入到合法网站中。” Cybernews研究人员解释道。
虽然这种漏洞不是关键性的,但它为网络钓鱼者提供了很多能够触及宝马内部员工或客户的机会。
想象一下,如果你收到了来自CEO或经理下达工作指令的的邮件,因为域名是合法的,防火墙并不会识别出邮件中的恶意链接。一旦你打开了链接并输入了你的凭证,攻击者就能对你部署勒索软件或进行其他恶意行为。
这种漏洞对于攻击者来说再好不过,只需要几个步骤就能进行大规模的网络钓鱼活动。他们通常会在实际环境中利用这个漏洞来窃取类似于登陆凭证的敏感信息,或者向毫无戒心的用户传播恶意软件。当受害者点击看似合法的链接时,实际上进入的是恶意网站,然后在网站执行恶意的JavaScript代码,被提示输入敏感信息。
这样,你还会完全信任那些已知域名的链接吗?
在Cybernews的研究人员向宝马披露了这一漏洞后,宝马针对该漏洞迅速进行了修复。
宝马集团发言人表示,对公司的员工、客户和商业伙伴而言,信息安全是宝马集团的首要任务。在发现漏洞后,公司立即做出了应对以最小化可能带来的影响,目前,这一漏洞并未危及到宝马集团相关系统,也没有出现数据泄露或被误用的情况。
宝马集团发言人称,宝马集团在访问内部系统时采用的是多级安全控制措施,他们遵循的原则是:数据越敏感,安全措施就越高。
在Web应用程序或组件没有正确验证或清洗URL情况下,SAP重定向漏洞及类似漏洞通常会导致Web应用程序将用户重定向到指定的URL。
这种影响到宝马网站和其他SAP系统类型的漏洞最早可追溯到2012年,即使公司进行了安全更新,仍然存在风险。因为攻击者只需要修改URL值,就能将用户重定向到恶意网站。
MITRE 公司指出:“修改后链接中的服务器名称与原始站点相同,钓鱼尝试看起来更可信。而这个问题是否构成一个漏洞取决于应用程序的预期行为,例如,一个搜索引擎可能会故意提供重定向到任意URL的服务。”
为了解决SAP重定向漏洞,Cybernews研究人员推荐以下措施:
SAP已经发布了针对SAP重定向漏洞的补丁,补丁对漏洞进行了修复,这是缓解漏洞最有效的方法。
为了防止注入攻击和其他安全漏洞,开发者应当遵循安全编码实践和指南,比如开放网络应用安全项目(OWASP)十大安全风险。
定期进行安全评估可以帮助识别系统和应用中的漏洞,并在攻击者有机会利用它们之前,采取主动的补救措施。
研究人员表示,安全是一个持续的过程,公司应当定期审查和更新他们的安全措施,确保措施有效。而重定向漏洞是重大的安全风险,并且可能对组织造成毁灭性的影响,需要尤其注意。
当然,用户也应该小心点击那些链接,即使域名看起来合法,攻击者也可能通过其他方式来传递恶意载荷。
架设“GOIP”设备给骗子提供帮助,10人落网!
近年来,有不少犯罪团伙利用GOIP(虚拟拨号设备)实施诈骗,那么第一步,就是需要有人去安装、维护设备。
真实案例
近期,西藏公安网安部门成功破获一起协助境外诈骗团伙架设“GOIP”设备实施诈骗的案件,抓获犯罪嫌疑人10人,扣押用于搭建“GOIP”设备的手机19部、电话卡25张,涉案总金额30余万元。
2023年10月,西藏林芝警方接到线索:某诈骗案在逃人员陈某在林芝市巴宜区活动。林芝市公安局立即部署网安部门牵头成立专案组,全力开展侦查、抓捕工作。
经周密部署、深入调查,警方全面查清了犯罪嫌疑人及其同伙在林芝市内架设“GOIP”设备,为境外诈骗分子提供帮助的犯罪事实。
林芝警方果断出击,成功抓获陈某及其同伙何某、王某某、邓某某,以及非法向陈某等人贩卖手机卡的姚某某、张某、赵某某,后又抓获犯罪团伙在逃成员李某、周某、李某某。
GOIP是一种虚拟拨号设备,它能将传统电话信号转化为网络信号,相当于一个移动基站。
诈骗分子可以用它任意切换手机号码,实现虚拟拨号,让境外电话伪装成本地电话。
使用GOIP设备可以让诈骗分子实现人和SIM卡分离,达到隐藏身份、逃避打击的目的。
传统的GOIP设备,一台机器上可以连接几十个用于转接号码的手机,但架设设备需要一个固定的房间作为机房。
为了更加隐蔽,诈骗团伙还发明出了简易的“GOIP”组网设备,只要几部手机、几条数据线和特定的手机软件,诈骗分子就能够在境外远程控制这套设备,让他们拨出的电话显示为本地来电。
切勿贪图蝇头小利,出租、出售、出借自己的电话卡、银行卡,切勿贪图“高薪”架设“GOIP”设备,为诈骗分子实施诈骗提供帮助。
坚决做到未知链接不点击,陌生来电不轻信,个人信息不透漏,转账汇款多核实,保护好自身的财产安全不受非法侵犯。
文章来源 :freebuf、西藏网警
精彩推荐