俄罗斯公民意图向美国公司植入勒索软件，最终被FBI逮捕

俄罗斯公民为了给美国公司植入恶意软件是怎么做的？

大约在7月28日左右，27岁的 俄罗斯小伙  Egor Igorevich Kriuchkov 使用了他的俄罗斯护照和B1 / B2旅游签证进入了美国 ，随后Kriuchkov用他的WhatsApp帐户联系了美国目标公司的一名员工。

然后多次和该公司的该员工见面，让该名员工帮助他将恶意软件手动安装到该公司的计算机网络中，还要求员工通过分享有关公司基础架构的信息来参与定制恶意软件的开发。

根据美国司法部公布的法庭文件，Kriuchkov要求安装的恶意软件是为了从该公司的网络中提取数据，使攻击者能在以后威胁该公司，要求该公司支付赎金。[出自:jiwo.org]
Kriuchkov和他在俄罗斯的同谋向该员工承诺，在成功植入上述恶意软件后，将支付100万美元比特币，并提出对该公司网络发起DDoS攻击，以转移人们对该恶意软件的注意力。

“如果CHS1 [员工]同意这一安排，他们将提供用于插入电脑的u盘或带有恶意软件附件的电子邮件。”

“他的同谋讨论了支付该员工的各种方式，包括使用加密货币，担保人保证金或现金支付。”
“在联邦调查局与他联系后，Kriuchkov一夜之间从内华达州里诺开车到洛杉矶。Kriuchkov 要求一位熟人为他购买飞机票，试图飞出该国。”

被联邦调查局逮捕后，联邦调查局对Kriuchkov及其会议进行了实时监视，Kriuchkov列出了该团伙之前针对的公司，并透露每一个目标公司中都有人在代表该团伙安装恶意软件。

值得我们注意的是，一些高调的勒索软件和数据泄露攻击很有可能是由内部人士以同样的方式实施的。
最终，Kriuchkov被控一项共谋罪，意图故意对受保护的计算机造成损害。

优步前首席安全官因隐瞒数据泄露被起诉，曾付黑客十万美元封口

南方都市报讯息，调查显示，2016年10月，有黑客成功入侵Uber数据库并窃取了5700万Uber司机和乘客的个人信息，内含姓名、电子邮箱地址、电话号码等，以及60万名Uber司机的驾照资料。主管安全事务的沙利文不但没有通知执法机构，还支付了价值10万美元的比特币给黑客，要求其删除窃取的信息并不得对外声张。

Uber前任首席安全官乔·沙利文

为了以合法的方式确保黑客不声张此事，沙利文还以发现安全漏洞赏金的名义向黑客支付了价值10万美元的比特币，并与黑客签订保密协议。保密协议中注明，该黑客并未获取或存储任何Uber用户资料，而在当时，沙利文甚至都不知道黑客的真实姓名。

当Uber团队确认黑客身份之后，沙利文再次要求黑客重新签署保密协议，同样宣称黑客并未取得Uber用户资料。据报道，当Uber员工向沙利文询问为何在保密协议中进行错误描述时，沙利文仍坚称黑客并未取得Uber用户的资料。

据美国司法部披露，早在2014年9月，Uber就曾遭遇过黑客入侵，美国联邦贸易委员会（FTC）随后对此事件展开调查，并要求Uber就相关问题进行书面回复作为证词。当时，沙利文被指派为专员处理此次调查。

此次起诉还指控，在2016年事件的关键细节上，沙利文欺骗了Uber的新管理团队。2017年8月接任Uber首席执行官的多拉·科斯罗莎（Dara Khosrowshahi）也曾要求沙利文汇报2016年的事件，沙利文修改了汇报简报，删除了黑客取得Uber用户资料等细节。

随后，沙利文在科斯罗莎查明事实后离职，同时也受到美国司法部的调查，并在上周正式被起诉。

只要听到你用钥匙开门的声音，黑客就能 copy 出你的钥匙

最近新加坡国立大学的一项研究表示，黑客只要听到你用钥匙开门的声音，就能 copy 出你的钥匙 …

每次用钥匙开门的时候，都会发出声音，而不同的钥匙在开门时也会发出不同的声音。于是黑客们就研究出一种方法，根据听到的开锁声来做钥匙。

新加坡国立大学的研究人员表示，黑客可以站在你家门附近录下你开锁的声音；或者黑进你的手机，用他们设计的恶意软件远程录下你开锁的声音，然后克隆你的钥匙。

研究人员表示，他们的系统能够从一个有 33 万多种可能密钥的数据库中，将正确的密钥缩小到 3 种！他们将研究重点放在一种常见的锁——Pin Tumbler Locks 上，当你把钥匙插进去时，这种锁会发出咔嗒咔嗒的声音。

当你把钥匙插进锁里时，它会到达一个 “咬合点”，在这个点上会不同程度地碰到一系列大头针。一旦达到这些咬合点，钥匙就可以转动，需要记录的也是此时的声音。

记录下这个声音后，黑客通过放慢音频的速度并对它进行分析，就能够确定出匹配这把锁的钥匙。

研究人员也说了，虽然这听起来很可怕，但是实施起来并不容易。这项技术还并不成熟，你只需要在开门的时候确保没有被录音以及手机上没有恶意软件就行了。