信息安全期刊（第二期）

相关信息安全事件— —

防范个人信息泄露建议

“反诈利器”分享

《中华人民共和国个人信息保护法》

主办 | 龙旗-制造信息部-南昌IT组

信息安全期刊

信/息/安/全      你/我/同/行

[第02期]

2022年09月

第02期 

内部资料 免费传阅

版权归龙旗-制造信息部-南昌IT组所有

总策划：龚鸣

内容主编：万欢

责任编辑：胡勇

信/息/安/全       你/我/同/行

目录

Contents

安全

信息安全 你我同行

01 安全事件分享

安全事件分享

01

    2022年9月5日，中国国家计算机病毒应急处理中心和360公司发布针对西北工业大学遭美国NSA网络攻击事件调查报告。

    2022年6月22日，西北工业大学发布《公开声明》称，该校遭受境外网络攻击。陕西省西安市公安局正式立案调查。

    国家计算机病毒应急处理中心和360公司联合组成技术团队（以下简称“技术团队”），全程参与了此案的技术分析工作。技术团队先后从西北工业大学的多个信息系统和上网终端中提取到了多款木马样本，综合使用国内现有数据资源和分析手段，并得到了欧洲、南亚部分国家合作伙伴的通力支持，全面还原了相关攻击事件的总体概貌、技术特征、攻击武器、攻击路径和攻击源头，初步判明相关攻击活动源自美国国家安全局（NSA）“特定入侵行动办公室”（Office of Tailored Access Operation，简称TAO）。

【更多详情请扫描二维码进入查看】

安全事件01

西北工业大学遭美国NSA网络攻击

日期：2022-09-05

标签：中国、美国、信息技术、教育行业、政府部门、西北工业大学

美国国家安全局（NSA）总部，马里兰州米德堡

# 西北工业大学遭美国NSA网络攻击

    2022年9月5日，TikTok 否认最近遭受网络攻击、源代码和用户数据被盗等事件，并称发布到黑客论坛的数据与该公司“完全无关”。2022年9月2日，一个名为“AgainstTheWest”的黑客组织在一个黑客论坛上创建了一个主题，声称已经入侵了 TikTok 和微信，并且分享了一个属于这些公司的所谓数据库的屏幕截图，称该数据库是在一个包含 TikTok 和微信用户数据的阿里云实例上访问的。AgainstTheWest表示，该服务器在一个 790GB 的庞大数据库中保存 20.5 亿条记录，其中包含用户数据、平台统计信息、软件代码、cookie、身份验证令牌、服务器信息等。TikTok的安全团队调查了这一声明，称确定有问题的代码与 TikTok 的后端源代码完全无关，后者从未与微信数据合并。TikTok 还称，泄露的用户数据不可能是直接抓取其平台造成的，因为它们有足够的安全保护措施来防止自动脚本收集用户信息。

安全事件02

TikTok在用户数据泄露后否认受到网络攻击

日期：2022-09-05

# TikTok在用户数据泄露后否认受到网络攻击

    2022年9月4日，电子产品和智能手机生产商三星报告了其系统中的数据泄露事件。该公司在 2022 年 7 月下旬遭到网络攻击。2022年8月4日前后，该公司再次发现一组威胁参与者访问了其系统并泄露了客户个人数据。黑客可以访问三星客户的个人详细信息，包括联系人、产品注册数据、出生日期和人口统计信息。然而，该公司表示，社会保障或信用卡号码不会受到安全漏洞的影响。目前，三星声称已检测到由攻击引起的系统漏洞，并已采取措施保护受影响的系统。此外，该公司聘请了一家领先的网络安全公司来调查此事并将其报告给执法部门。

安全事件03

三星宣布第二次客户数据泄露

日期：2022-09-04

# 三星宣布第二次客户数据泄露

黑客论坛上入侵TikTok和微信的宣告

三星官网发布的公告原文及翻译软件的翻译

    如今，网络犯罪分子正在加大赌注，努力开发复杂的鱼叉式网络钓鱼活动来欺骗潜在用户，同时更频繁地滥用SharePoint、亚马逊 AWS、谷歌和 Adobe 等可信平台。这正是Menlo Labs研究团队在最近分析的针对日本 MICARD 和美国运通用户的网络钓鱼活动中所见证的。该团队发现，有问题的威胁行为者正在向潜在目标发送带有假冒网页链接的欺骗性电子邮件，并使用地理围栏确保只有日本 IP 可以访问其网站。在分析MICARD 和美国运通网络钓鱼页面使用的机制时，发现了许多相似之处。访问时，用户将看到一个登录页面，要求他们提交凭据。如果他们继续这样做，他们将被重定向到同一域上的第二个网页，该网页会要求他们提交他们的帐户详细信息和卡号。在美国运通的案例中，会再次向任何潜在的受害者展示一个登录页面，然后是一个请求提交信用卡信息的辅助页面.在这两个活动的情况下，如果任何访问者成为受害者并输入他们的卡信息，他们将被引导到真实网站的主页，而他们的所有凭据都将记录在钓鱼页面的 URL 路径中。

安全事件05

以日本信用卡客户为目标的网络钓鱼攻击活动

日期：2022-08-31

# 以日本信用卡客户为目标的网络钓鱼攻击活动

    一项新的 Instagram 网络钓鱼活动正在进行中，试图通过提供蓝标优惠来欺骗流行社交媒体平台的用户。蓝色徽章非常令人垂涎，因为 Instagram 将它们提供给经过验证是真实的、代表公众人物、名人或品牌的帐户。最近观察到的网络钓鱼活动中的鱼叉式电子邮件通知收件人，他们在 Instagram 审查了他们的帐户，并认为他们有资格获得蓝色徽章。被骗的用户被敦促填写表格并在接下来的 48 小时内领取他们的验证徽章。尽管该活动显示出欺诈迹象，但威胁者押注于 Instagram 用户在面临升级其社交帐户状态的机会时的粗心和热情。网络钓鱼攻击者一直在利用许多 Instagram 用户的虚荣心。使用网络钓鱼电子邮件针对社交媒体用户的活动非常受欢迎 ，并且不仅限于 Instagram。

安全事件04

数千人在 Instagram 网络钓鱼攻击中被蓝色徽章引诱

日期：2022-09-01

# 数千人在 Instagram 网络钓鱼攻击中被蓝色徽章引诱

Instagram钓鱼邮件

亚马逊钓鱼邮件

    2022年8月31日，研究人员发现Chrome 版本 104 意外引入了一个错误，导致当用户浏览网页时，该页面可以在用户不知情的情况下删除系统剪贴板的当前内容。此错误不仅限于 Google Chrome。Safari 和 Firefox 还允许网页写入系统剪贴板，但它们具有基于手势的保护。Chrome 开发人员已经发现了这个问题，但尚未修复，因此它仍然存在于当前版本的移动和桌面谷歌 Chrome 浏览器中。系统剪贴板是操作系统上的临时存储位置。它通常用于复制粘贴，并且可能涉及敏感信息，例如银行帐号、加密货币钱包字符串或密码。用任意内容覆盖这个临时存储空间会使用户面临风险，因为他们可能成为恶意活动的受害者。黑客可能会引诱用户访问冒充合法加密货币服务的特制网站。当用户尝试付款并将钱包地址复制到剪贴板时，网站可以将黑客的地址写入剪贴板。考虑到这些操作的常见程度，此权限具有足够的风险，值得修复。

安全事件07

Google Chrome 错误导致用户剪贴板风险

日期：2022-08-31

# Google Chrome 错误导致用户剪贴板风险

    2022年8月29日，网络安全公司 Check Point发布报告称，土耳其黑客组织正在通过免费软件下载网站传播加密挖掘恶意软件，其中包括一个提供假谷歌翻译桌面应用程序的网站。Check Point在 7 月底发现了该活动，并将其命名为 Nitrokod。研究人员表示，它可能已经用恶意软件感染了 11 个国家的数千台设备。该恶意软件劫持设备的处理器并强制其验证比特币等货币交易。这些程序有一个延迟机制，可以在几天或几周后部署恶意软件，同时还会删除原始安装的任何痕迹，这使该活动能够逃过监控成功运行。

安全事件06

日期：2022-08-29

# 土耳其恶意软件通过虚假谷歌翻译链接感染多国家机器

恶意程序截图

通过Chrome访问浏览器覆盖的剪贴板

安全

信息安全 你我同行

安全建议分享

02

02 安全建议分享

防范个人信息泄露篇1

# 防范个人信息泄露篇1

网络购物要谨防钓鱼网站、慎点链接

通过网络购买商品时，要仔细验看页面网址，在登录时注意检查网站的域名是否正确，审慎点击商家从即时通信工具上发送的支付链接，以防钓鱼网站。不要轻易接收和安装不明软件，要慎重填写银行账户和密码，防止个人信息泄露，造成经济损失。

妥善处置快递单、车票等含个人信息的单据

快递单上一般写有网购者的姓名、电话、住址，车票、机票上则印有购票者的姓名、身份证号等信息，购物小票上也包含部分姓名、银行卡号、消费记录等信息。

如果随手扔掉了这些单据，使它们落入不法分子手中，就会导致个人信息泄露。因此，对于已经废弃的包含个人信息的资料，一定要及时销毁或妥善保管。

身份证复印件上要写明用途

银行、通信营业厅、各类考试报名、网校学习班……很多地方都会留存身份证复印件，甚至一些打字店、复印店也会利用便利，将暂存在复印机的客户信息资料存档留底。

因此，在提供身份证复印件时，一定要在含有身份信息区域注明“本复印件仅供××用于××用途，他用无效”，并写明日期。复印身份证后，要清除复印机缓存。

不在微博、群聊中透露个人信息

我们平时通过微博、QQ空间、贴吧、论坛和熟人互动时，有时会不自觉地说出或者标注对方姓名、职务、工作单位等真实信息，这些信息有可能会被不法分子利用。

很多网上伪装身份实施的诈骗，就是利用了这样泄露的信息。因此，我们使用社交网站时，也要尽可能避免透露或标注真实身份信息。

# 防范个人信息泄露篇2

防范个人信息泄露篇2

# 防范个人信息泄露篇3

慎连免费WiFi

目前，因免费WiFi而引发的网银账号被盗、个人信息泄露等案件呈逐年上涨趋势。国内80%的WiFi能在15分钟内被轻易破解。

黑客甚至只需凭借一些简单设备，就可盗取WiFi上任何用户名和密码。所以，大家“蹭网”需谨慎，在公共场合使用免费WiFi时，不要登录没有密码的WiFi，尽量不要在公共WiFi下网购或登录网银、第三方支付平台，防止重要账号、密码泄露。

慎重参加网络调查、抽奖活动

网络上经常会碰到各种问卷调查、购物抽奖或申请免费试用等活动，这些活动一般都会要求网民填写详细联系方式和家庭住址等个人信息。大家在参与此类活动前，要选择信誉可靠的网站，不要贸然填写个人资料从而导致信息泄露。

及时清除旧手机的数据信息

在处置不用的旧手机时，很多用户仅仅只是将手机恢复了出场设置，或者只是采取了简单的删除资料的方式。但这些被删除的信息完全可以通过数据恢复工具还原，使旧手机上个人信息存在泄露的隐患。甚至有不法分子专门从事此行业，将二手手机里的信息恢复出来，然后进行打包出售。

不要轻易提供短信验证码

可能有一些骗子会伪装成你的亲戚、好友，向你索要短信验证码，这个时候，一定不要轻信，不要将验证码告诉他们。就算如果真的有朋友跟你索要验证码的时候， 一定要问清楚用途，还要确定身份，看看他们是不是本人。

防范个人信息泄露篇3

手机和电脑安装防病毒软件

手机和电脑在使用过程中有可能会感染木马病毒，这些木马会将手机或者电脑中的信息发送到编写者指定的位置，因此我们需要给手机或电脑安装防病毒的安全软件，定期查杀病毒，以减少通过网络泄露自己信息的概率。同时要养成良好的上网习惯：不安装来历不明的软件，不打开危险链接，不浏览非法网站。

不随意接收或者打开陌生的邮件

打开邮箱，看到陌生人发来的邮件千万不能轻易打开。尤其是看到中奖或者是奖品认领等带有相关衔接的邮件时，更要万分小心。

注册各类应用、网站要尽量赋予最少的信息和权限

无论是网络购物，还是虚拟社区注册，或是在社交工具上发布信息，都会留下个人信息，填写时一定要谨慎小心。我们应该秉持信息最小化原则，如无必要不要将所有信息都填上，仅填一些必要信息就好了。

避免使用简单、有规律的组合作为密码

避免使用“12345”、“abcd”、“qwerty”等简单的数字或英文组合，以及姓名拼音字母与出生日期信息作为密码，防止被快速破译。并且须定期修改密码。

# 防范个人信息泄露篇4

防范个人信息泄露篇4

安全

信息安全 你我同行

反诈利器分享

03

03 反诈利器分享

尽量远离网络平台涉及的互动类活动

很多社交平台的互动链接，如投票、性格测试等，会要求填写不必要的个人信息，以此获取大量的用户信息，遇到那些奔着个人隐私信息去的没有实质性意义的活动，建议不要参与。

尽量避免使用公共场所的充电柱

在公共场所使用充电柱为智能数码产品充电时，切勿盲目按照提示进行“权限授予”操作，否则有可能被不法分子植入安装恶意软件，甚至盗走个人资料。

勿贪小便宜注册会员等

生活中经常存在通过注册会员或刷单以达到减免、赠送小礼品的现象。这些通常以小便宜来引诱大家参与，从而获得大家的个人信息（如姓名、手机号等），遇到这些事情，建议不要去贪便宜注册会员、刷单等。

勿将个人身份证或相关证件借给他人

将自己出借的身份证出借给他人使用，不仅极易造成个人信息的泄露，同时也是违法的。出借身份证，会由公安机关给予警告，并罚款200元以下，出借人若因此有违法所得的，还会没收违法所得。

# 反诈利器1------反诈中心APP

01

反诈利器1

反诈中心APP

第一步：下载国家反诈中心APP；

第二步：选择常驻地区，填写资料完成注册认证；

第三步：开启预警防护功能；

02

反诈利器2

96110预警劝阻热线

为专业号段

受到工信部门保护

目前主要有三大主要服务功能：

劝阻：接到“96110”这个号码打来的电话，说明市民或其家人正在遭遇电信网络诈骗，又或者属于易受骗高危人群。

民警通过这个号码工作时

拨打本地号码时，显示为96110；

拨打外地号码时，显示为警方所在区号+96110；

不会有任何的前缀和后缀

不会有任何“ ”号之类的标点符号

# 反诈利器2------96110预警劝阻热线

# 反诈利器3------“一证通查”服务

03

反诈利器3

一证通查服务

    “一证通查”是在工业和信息化部网络安全管理局指导下，由工业和信息化部反诈中心（中国信息通信研究院）在全国移动电话卡“一证通查”服务的基础上，联合互联网企业和电信企业推出的全国互联网账号便民查询服务。

# 反诈利器3------“一证通查”服务

安全

信息安全 你我同行

法律法规分享

04

04 法律法规分享

# 《中华人民共和国个人信息保护法》

第一章  

第十条    任何组织、个人不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息；不得从事危害国家安全、公共利益的个人信息处理活动。

1

第二章  

第一节    第十五条    基于个人同意处理个人信息的，个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。

    个人撤回同意，不影响撤回前基于个人同意已进行的个人信息处理活动的效力。

2

第二章  

第一节    第二十一条    个人信息处理者委托处理个人信息的，应当与受托人约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等，并对受托人的个人信息处理活动进行监督。

    受托人应当按照约定处理个人信息，不得超出约定的处理目的、处理方式等处理个人信息；委托合同不生效、无效、被撤销或者终止的，受托人应当将个人信息返还个人信息处理者或者予以删除，不得保留。

    未经个人信息处理者同意，受托人不得转委托他人处理个人信息。

3

# 《中华人民共和国个人信息保护法》

# 《中华人民共和国个人信息保护法》

第二章  

第一节    第二十四条    个人信息处理者利用个人信息进行自动化决策，应当保证决策的透明度和结果公平、公正，不得对个人在交易价格等交易条件上实行不合理的差别待遇。

    通过自动化决策方式向个人进行信息推送、商业营销，应当同时提供不针对其个人特征的选项，或者向个人提供便捷的拒绝方式。

    通过自动化决策方式作出对个人权益有重大影响的决定，个人有权要求个人信息处理者予以说明，并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。

4

第二章  

第二节    第二十八条    敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。

    只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，个人信息处理者方可处理敏感个人信息。

5

第三章  

第三十九条    个人信息处理者向中华人民共和国境外提供个人信息的，应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项，并取得个人的单独同意。

7

第二章  

第二节    第三十一条        个人信息处理者处理不满十四周岁未成年人个人信息的，应当取得未成年人的父母或者其他监护人的同意。个人信息处理者处理不满十四周岁未成年人个人信息的，应当制定专门的个人信息处理规则。

6

第七章  

第六十六条    违反本法规定处理个人信息，或者处理个人信息未履行本法规定的个人信息保护义务的，由履行个人信息保护职责的部门责令改正，给予警告，没收违法所得，对违法处理个人信息的应用程序，责令暂停或者终止提供服务；拒不改正的，并处一百万元以下罚款；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

    有前款规定的违法行为，情节严重的，由省级以上履行个人信息保护职责的部门责令改正，没收违法所得，并处五千万元以下或者上一年度营业额百分之五以下罚款，并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照；对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款，并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。

8

安全

信息安全 你我同行

趣味题目分享

05

05 趣味题目分享

# 计算机趣味题

计算机趣味题

电脑出故障，马上拔插头（打一成语）

当机立断

电脑连通来相会（打一成语）

网开一面

心算不如电脑快（打一常言俗语）

机敏过人

信息安全反馈通道

信息安全相关问题联络方式：

企业微信：员工服务-客服-IT_运维支持_南昌

企业微信：员工服务-客服-信息安全反馈

以客户为中心

以贡献者为本

长期主义