《安联智库-网安周报》2022-06-26

1、2021年针对美国教育机构的勒索软件攻击共造成35.6亿美元损失

2021年，67次单独的勒索软件攻击影响了954所美国教育机构（包含学校和学院），影响到950129名学生。估计这些攻击仅在停机时间方面就使教育机构损失了35.6亿美元。大多数学校还将面临天文数字般的恢复成本，因为他们试图恢复计算机，恢复数据并加固系统以防止未来的攻击。

虽然希望正在出现，但勒索软件攻击对学校和学院的破坏性影响在上个月变得非常明显。林肯学院在2021年12月受到攻击后，于2022年5月宣布永久关闭。攻击和它对其系统的影响导致入学率大幅下降，这意味着该学院无法维持自身的运营。更糟糕的是，该学院已经向黑客支付了赎金。

2、工控安全遭严峻挑战，56个严重漏洞席卷OT 设备

据The Hacker News消息，安全研究人员在10家OT供应商的产品中发现56个严重的安全漏洞。Forescout将这56期报告统称为“OT:ICEFALL”，这些漏洞也被安全研究人员称之为“不安全的设计实践”。

报告指出，利用这些漏洞，具有网络访问权限的攻击者可对目标设备发起远程执行代码攻击，更改 OT 设备的逻辑、文件或固件，绕过身份验证，破坏凭据，导致拒绝服务或产生各种运营影响。

考虑到受影响的产品广泛应用于石油和天然气、化学、核能、发电和配电、制造、水处理和配电、采矿和楼宇自动化等关键基础设施行业，这些漏洞一旦被攻击者大规模利用，很有可能会对社会造成灾难性后果。

在已经发现的 56 个漏洞中，38% 允许破坏凭据，21% 允许固件操作，14% 允许远程代码执行，8% 的漏洞允许篡改配置信息。攻击者还可以利用这些弱点使设备完全脱机并绕过现有的身份验证功能，来调用目标上的任何功能。

3、日本一市弄丢含46万市民信息的U盘 道歉时又暴露密码位数

6月25日消息，据日本关西电视台24日报道，兵库县尼崎市于6月23日举行新闻发布会，为丢失包含所有46万公民个人信息的U盘而道歉。

据报道，承包商 BIPROGY 的一名男子承认，他在一天晚上外出喝酒时丢失了一个包含全市 46 万市民个人信息的 U 盘，U 盘中的包括居民的姓名、地址和出生日期，以及他们缴纳的居民税的详细信息，还有领取儿童福利和其他福利金居民的银行账号。

这一事件并没有结束，在新闻发布会上，工作人员还意外泄露了 U 盘设置的密码位数，引来广泛批评。据日本经济新闻报道，发布会上当被问及密码时，工作人员回应称，“我设置了一个 13 位字母数字的密码，我觉得很难被破译。”

对此，推特上引发了批评尼崎市的热潮。有人指出，暴露密码位数会使暴力破解密码变得更容易。

4、浙江一女子被骗千元学带货3天只赚3元 3年120多人上当

随着电商、直播领域的飞速发展，直播带货已经逐渐进入各个行业，成为新的营销方式，门槛低、投入小，拿起手机就能直播带货吸引了无数主播加入其中。据@西部决策，近日，浙江金华义乌市警方捣毁了一个诈骗团伙，9名嫌疑人被抓。此前，林女士看到一公司招直播带货兼职，她咨询后付了1680元服务费，跟着指导操作了3天只赚了3元。

当对方诱导林女士继续掏钱时，她果断报警。经查，该公司以直播带货兼职为噱头，虚构商家、短视频平台等官方流量支撑的情况，近3年诈骗了120多人50多万。

据了解，前不久，国家广播电视总局、文化和旅游部联合印发《网络主播行为规范》。该规范针对网络主播从业行为中存在的突出问题，规定了网络主播在提供网络表演和视听节目服务过程中应当遵守的行为规范和要求。

该《规范》指出，网络主播不得出现行为夸张宣传误导消费者，通过虚假承诺诱骗消费者，使用绝对化用语，未经许可直播销售专营、专卖物品等违反广告相关法律法规等。

在此提醒，在刷短视频娱乐消遣的同时，提高自身防范意识，切勿轻信平台上一些带有营销推广性质的视频，避免侥幸心理。