兩男子開發取不出錢的“貸款APP”騙取注冊費、倒賣信息獲利超460萬元;立即修改密碼,KeePass 曝嚴重漏洞;
“在APP平臺繳納39元會員費,就可貸款10萬元?”90后的馮某、潘某本是大學同窗好友,畢業后又同在一家科技公司做起了“碼農”,從事編程開發APP。然而二人卻在工作中不滿足于自己的本職工作,辭去工作后自主創業,走上了開發APP詐騙的不歸路。近日,浦東警方成功破獲一起電信網絡詐騙案,涉案人員均因涉嫌詐騙罪被警方依法采取刑事強制措施。
取不出錢的貸款APP
2022年10月,浦東公安分局刑偵支隊在工作中發現一條線索,手機應用中有一款名為“迅捷易借”的APP,頁面顯示只要支付39元會員費,成為會員后就能輕松貸款8至10萬余元。有市民按提示登記個人信息,之后再繳納所謂“會員費”,以為這樣就能拿到貸款,不料這39元的會員費一去不復返,而且所貸的款項也一直取不出來。
民警也下載這款APP多次操作后發現,該款軟件實際沒有貸款功能,背后的開發者一心想通過各種套路,騙取被害人的會員費39元與個人信息。浦東公安分局刑偵支隊迅速成立專案組,經縝密調查,警方發現該款APP的資金流就位于本地,遂通過資金流等關鍵線索開展循線追蹤,最終鎖定幕后的馮某、潘某的經營窩點,并抓獲該詐騙APP主要開發者馮某、潘某及后臺維護員等11人。
1年生成10萬余單充值訂單
據犯罪嫌疑人馮某、潘某供述,二人此前在同一家科技公司上班,從事的也是開發APP工作,后因不滿足每月固定的收入,便辭職創業,共同組建APP開發公司。二人招募多名技術人員,并開發借款APP,通過虛構放款金額,在網上誘騙有借款需求的人員充值注冊。經警方初步查證,在2021年至2022年這一年多時間里,后臺涉及充值訂單達十萬余單,涉案金額達460余萬元。
上海市公安局浦東分局刑偵支隊四大隊大隊長鄔繼青介紹,該APP通過話術包裝,誘導需要貸款的受害人充值會員,讓他們誤以為39元購買的是貸款流程中的各種附加服務。不僅如此,隨著專案組不斷深挖線索,發現這一APP還為同類APP導流,“在黑灰行業內,他們互為推廣渠道,從中獲得返利,并辯稱這一行為只是賺取廣告流量”,鄔繼青說,這一團伙還將受害人填寫的個人信息售賣給貸款公司,這一行為涉嫌侵犯公民個人信息,相關取證調查工作還在進行中。
目前,犯罪嫌疑人馮某、潘某等11名犯罪嫌疑人因涉嫌詐騙罪已被警方依法采取強制措施。
警方提示:不管騙子偽裝成什么身份,繞多少圈最終目的都是“轉賬、匯款”,凡是涉及到錢財問題的信息一定要提高警惕,多加核實確認,切勿輕信他人,以免財產受到損失。一旦發現上當受騙,請及時報警并為警方提供線索。
立即修改密碼,KeePass 曝嚴重漏洞,密碼數據庫被明文導出
鑒于各平臺對密碼的要求越來越復雜,許多用戶使用密碼管理軟件統一存儲密碼,此舉雖然很好幫助用戶管理賬戶信息,但同樣意味著一旦此類軟件存在安全漏洞,很容易導致機密數據泄露。
近日,Bleeping Computer 網站披露,開源密碼管理軟件 KeePass 被爆存在嚴重安全漏洞 CVE-2023-24055,網絡攻擊者能夠利用漏洞在用戶毫不知情的情況下,以純文本形式導出用戶整個密碼數據庫。
不同于 LastPass 、BitwardenKeePass 等云托管的數據庫,KeePass 允許用戶使用本地存儲的數據庫來管理密碼,并允許用戶通過主密碼加密數據庫,以避免泄漏,這樣惡意軟件或威脅攻擊者就很難訪問數據庫并自動竊取其中存儲的密碼。
但 CVE-2023-24055 允許獲得目標系統寫入權限的威脅攻擊者更改 KeePass XML 配置文件并注入惡意觸發器,從而將數據庫中所有用戶名和密碼以明文方式導出。
據悉,當目標用戶啟動 KeePass 并輸入主密碼以解密數據庫時,將觸發導出規則,并將數據庫內容保存到一個文件中,攻擊者可以稍后將其導出到其控制的系統中。值得一提的是,整個數據庫導出過程都在系統后臺完成,不需要前期交互,不需要受害者輸入密碼,甚至不會通知受害者,悄悄導出所有數據庫中存儲的密碼信息。
安全研究人員認為 CVE-2023-24055 漏洞爆出可能使威脅攻擊者更容易在受損設備上轉儲和竊取 KeePass 數據庫的內容。部分戶要求 KeePass 開發團隊在黑客“悄悄”導出數據庫之前添加確認提示,或者提供一個沒有導出功能的應用程序版本。
KeePass 官方表示暫無漏洞修補措施
KeePass 官方聲明表示,CVE-2023-24055 漏洞不應該歸咎于 KeePass,并且這一漏洞不是其所能夠解決的,有能力修改寫入權限的網絡攻擊者完全可以進行更強大的網絡攻擊。
當用戶常規安裝 KeePass 時,一旦攻擊者具有寫入權限,就可以執行各種命令,開展攻擊活動,就算用戶運行可移植版,威脅攻擊者也可以用惡意軟件替換 KeePass 可執行文件。
上述兩種情況表明,對 KeePass 配置文件進行寫入意味著攻擊者實際上可以執行比修改配置文件更強大的攻擊(這些攻擊最終也會影響 KeePass,而不受配置文件保護)。因此,KeePass 建議用戶只有保持環境安全(使用防病毒軟件、防火墻、不打開未知電子郵件附件等),才能防止此類攻擊。
最后,KeePass 開發人員指出,雖然用戶無法獲得更新版本,但能夠通過系統管理員身份登錄并創建強制配置文件來保護數據庫。
