涉案金額2.7億！特大涉電詐洗錢團伙作案手法曝光

為貫徹落實海南省公安廳打擊治理電信網絡新型違法犯罪的工作部署，結合“凈網2022”專項行動，近日，三亞市公安局天涯分局成功打掉一個特大涉電信網絡詐騙洗錢團伙，抓獲犯罪嫌疑人15名，核破全國電信網絡詐騙案件50余起，涉案金額達2.7億余元。

3月18日，事主陳某收到一封“貝米錢包”資產清退郵件，因此前陳某曾在該平臺進行過投資，并未多想，隨即便按照自稱“工作人員”的要求，通過微信掃碼支付資產清退前的手續費83549元。事后，陳某懷疑被詐騙，遂于當日到天涯分局報警求助。接報后，天涯分局合成作戰中心立即展開調查。

經調取相關資料、分析研判，事主陳某被騙的資金在洗白過程中，極有可能是一個有組織的、分工明確的涉電詐洗錢團伙所為。經過進一步的偵查摸排，民警發現該伙嫌疑人在定安、海口等地瘋狂存取涉詐資金400余萬元，一個以蔡某軍、朱某雄為首多達20余人的定安籍特大涉電詐洗錢團伙浮出水面，且該團伙成員大部分具有吸販毒前科。

3月28日，經過周密部署，天涯分局開展集中收網行動。在省公安廳合成作戰中心和市局相關部門的支持下，民警輾轉海口、定安、東方、瓊中、樂東等地成功將犯罪嫌疑人蔡某軍（男，41歲）、朱某雄（男，35歲）、李某能（男，45歲）、黃某鵬（男，29歲）、莫某楷（男，48歲）、吳某珠（女，33歲）、吳某碩（男，24歲）、林某蓉（女，32歲）、陳某潮（男，22歲）、黃某喜（男，19歲）、蒙某能（男，24歲）、李某（男，33歲）、王某靖（男，19歲）、莊某雄（男，18歲）、吳某乾（男，25歲）共15人抓獲，繳獲涉案手機21部、銀行卡35張、作案小轎車3輛及其他作案工具一批。

5月13日，該案被海南省公安廳列為省督案件。目前，案件正在進一步偵辦中。

谷歌Java OAuth客戶端庫存在高危漏洞！

谷歌Java OAuth客戶端庫存在高危漏洞，攻擊者可使用被黑的token部署惡意payload。

 漏洞概述

谷歌OAuth Client Library for Java（Java OAuth客戶端庫）的設計目的是用來與web上的任意OAuth協作，而不僅僅是谷歌API。該庫基于谷歌Java HTTP客戶端庫構建，支持Java 7標準版和企業版、安卓4.0、谷歌APP引擎。

研究人員在Java OAuth客戶端庫中發現一個高危的認證繞過漏洞，CVE編號為CVE-2021-22573，CVSSv3評分8.7分，攻擊者可以利用該被黑的token來部署惡意payload。

漏洞產生的根源是IDToken驗證器沒有驗證token是否正確簽名。簽名驗證可以確保token的payload來源于有效的可信的提供者。因此，攻擊者可繞過客戶端的驗證，利用該漏洞可以構造來自不可信的提供者的任意惡意payload。

 漏洞時間軸

該漏洞是由弗吉尼亞大學計算機科學專業4年級博士生Tamjid Al Rahat于3月12日發現的，微軟已于4月發布了v 1.33.3版本來修復該漏洞。Tamjid Al Rahat因此獲得了5000美元的漏洞獎勵。