诈骗先知“头”等大事

订购头盔诈骗来了

近日，全国公安交管部门开展“一盔一带”安全守护行动，尽管官方已经明确此次处罚只限于摩托车，但是依然不能阻挡头盔价格的飙升，头盔一下子成了紧俏货。随着头盔价格大涨，大量的代理商、中间商开始加入头盔倒卖的行业。与此同时，朋友圈关于头盔的新骗局也出现了。

案例经过

用户在朋友圈看到发布的广告：“有大量头盔批发价出售，拼手速抢！”并配有仓库库存视频。想着当下头盔炙手可热，转手销售差价利润十分可观，于是便以极低单价下单一批成人头盔，扫码支付了货款，随后发现自己被骗。

图片来自网络

国家反诈中心提醒

朋友圈、社交群看到卖头盔的广告，万万不可盲目购买或点击对方发来的链接输入个人信息，请多方核实卖家身份和货品来源。

“影响度报告”朋友圈刷屏官方回应：活动属黑灰产行为

近日，被扫码就能生成朋友圈“影响度报告”的活动刷屏，其中包括当月的好友访问量、星标好友设置情况、好友设置不看个人动态等内容。此外，照片动态被好友查看次数、一位异性“查看次数”等内容，亦在该份“报告”中显示，着实惊爆眼球。

然而，在有人质疑自己的私密隐私被公开时，微信官方回应称，目前流传的“个人影响度报告”链接并非来自微信官方，而属于互联网黑灰产行为。这种链接利用用户好奇心理，编造敏感数据，谎称为官方大数据分析结果，通过诱骗用户关注及转发，来起到导流、变现目的。

安全专家提醒

对于需要提供姓名、生日、朋友圈授权、人脸信息等个人信息的扫码预测/测算类活动，一定要谨慎参与，以防隐私信息被收集，或沦为黑灰产买卖的“筹码”。

 

行业动态

聚焦两会风口之下的网络安全建设

今年两会，周鸿祎提交了四份提案，全都紧密围绕网络安全展开。四份提案分别建言：

1、尽早构建新基建网络安全防护体系

周鸿祎认为，随着新基建进一步促进网络空间与物理空间的连通和融合，加快了“大安全”时代的来临。网络安全不再只影响虚拟空间，而是扩展到了现实世界，对国家安全、社会安全、人身安全造成严重影响。

因此，对于构建新基建网络安全防护体系，提出4点建议：

1)运用整体思维，规划新基建网络安全防护体系顶层设计；

2)同步建设新基建的安全基础设施，聚焦新基建安全防能力构建；

3)强化大数据平台安全，实现安全的大数据协同计算；

4)开展常态化网络安全攻防对抗演习，持续检验和提升新基建安全能力。

2、尽快制定《国家5G安全战略》

周鸿祎建议，应当从战略高度审视5G网络安全的重大意义和紧迫性，加强5G安全的顶层设计，制定《国家5G安全战略》。

3、加快推进工业互联网安全保障

周鸿祎认为，“工业互联网是新基建最大的应用场景之一”，保障新基建安全应重点“盯防”工业互联网的安全。对此，他建言加快推进工业互联网安全保障建设，为国家实体经济和社会保驾护航。

4、加强信创网络安全保障能力建设。

在周鸿祎看来，未来3到5年，信创产品和解决方案将在更多领域规模化推广应用。其安全问题将面临前所未有的挑战，因此，他建议要强化信创安全体系顶层设计、统筹构建安全保障体系。

 

国际前沿

谷歌工程师：七成Chrome安全漏洞是内存安全问题

近日，有谷歌工程师分析了自 2015 年以来在 Chrome 稳定版分支中修复的 912 个安全错误。并发现，在这些被标记为“高”或“严重”等级的所有安全漏洞中，大约 70％ 是内存管理和安全问题。 这其中又有一半是 use-after-free 漏洞。这种安全问题是由对内存指针（地址）的错误管理引起的，为攻击者打开了攻击 Chrome 内部组件的大门。

这一数据恰巧与微软此前的研究结果相同：微软安全响应中心（MSRC）对自 2004 年以来所有报告过的微软安全漏洞进行了分类，所有微软年度补丁中约有 70% 是针对内存安全漏洞的修复程序。微软安全响应中心曾给出解释，这是因为他们大多数产品使用 C 和 C++ 编写，而这两种编程语言属于“内存不安全”（memory-unsafe）的范畴。管理内存执行的开发人员代码中的一个漏洞可能导致一系列内存安全错误。

最后，值得注意的一点是，谷歌表示计划在可能的情况下使用“安全”语言进行探索。候选对象包括 Rust、Swift、JavaScript、Kotlin 和 Java。