3月17日，星期五，您好！中科汇能与您分享信息安全快讯：

近年来，人们生活水平的提高离不开网络消费，而以“XX账号存在风险、XX预留信息将失效、XX消费存在风险”等提示短信也趁机盯上了消费者的钱包，这其中无一例外都会附带一串链接，而这个链接就是打开消费者钱包的钥匙。

不难看出，钓鱼短信中的链接，将消费者引导进了由诈骗分子精心打造的登陆页面中，一旦消费者输入自己的手机、银行卡号，诈骗分子的终端设备也能将这些信息实时获取。接下来，当消费者将收到的验证码短信也进行输入后，就等于彻底把钱递到了诈骗分子手中，能够立刻通过转账将消费者银行账户中的余额划走。

美国网络安全和基础设施局 (CISA)、联邦调查局 (FBI)和多州信息共享和分析中心 (MS-ISAC) 发布联合公告指出，“恶意人员可利用该漏洞，成功在联邦民事行政部门 (FCEB)的微软互联网信息服务 (IIS) web服务器上执行远程代码。”与该攻击相关联的妥协指标 (IoCs) 在2022年11月至2023年1月初之间发现。

该漏洞是CVE-2019-18935，CVSS评分为9.8，与影响ASP.NET AJAX版的Progress Telerik UI的.NET反序列化漏洞有关。如不修复该漏洞，则可导致远程代码执行后果。

近日，有网友反馈手机系统提示“小红书试图删除您的照片”。对此，小红书技术REDtech回应称：第一时间进行核实，回复如下：小红书App并未删除用户手机中的原图片。

而是清理了用户在使用App时，生成的临时缓存，用户在使用某些版本小红书App的部分功能时，系统可能会生成临时缓存文件以便于使用，用户完成相应操作后，系统会自动清除，以避免占用用户手机存储空间。

近期，中国网络空间安全协会、国家计算机网络应急技术处理协调中心对“浏览器类”公众大量使用的部分App收集个人信息情况进行了测试。本次测试选取了19家应用商店累计下载量达到1亿次的“浏览器类”App。

9款App在4种场景下调用了位置、设备信息、剪切板、应用列表、相册5类系统权限，未发现调用麦克风、通讯录等其他权限。在启动App场景中，调用系统权限种类最多的为悟空浏览器，调用系统权限次数最多的为UC浏览器。在搜索信息场景中，调用系统权限种类最多的为小米浏览器和搜狗浏览器极速版，调用系统权限次数最多的为小米浏览器。

近日，勒索软件组织LockBit给埃隆·马斯克发送了一条信息：打钱，或者眼睁睁看着SpaceX的机密信息在暗网上被卖掉。根据网络安全分析师Dominic Alvieri本周三发布的推文，LockBit勒索软件组织威胁要发布被盗的SpaceX设计图纸，除非埃隆马斯克在3月20日前支付“保密费”。

LockBit在勒索通知中写道：“埃隆马斯克，我们将把图纸出售给其他制造商，帮他们更快地建造船并飞走。”据报道，这些机密图纸不是来自SpaceX本身，而是来自其第三方供应商：为SpaceX项目生产零件的Max Industries。

据消息，一份最新报告显示，有黑客正出于经济动机利用微软SmartScreen安全功能中的零日漏洞，用以传播Magniber勒索软件。

谷歌威胁分析小组的研究人员表示，自2022年12月以来，恶意黑客就已经能够利用SmartScreen中的零日漏洞。谷歌小组在2月15日向微软报告了相关发现及勒索软件团伙的利用行为。

微软近日发布针对该漏洞（CVE-2023-24880）的修复补丁。SmartScreen旨在捕捉网络钓鱼企图和恶意软件，属于Windows 10/11以及微软Edge网络浏览器的组成部分。微软公司发言人表示，客户只要安装最新补丁即可获得保护。

互联网是人类文明发展的重要成果。互联网在促进经济社会发展的同时，也对监管和治理形成巨大挑战。发展好治理好互联网，让互联网更好造福人类，是世界各国共同的追求。

实践证明，法治是互联网治理的基本方式。运用法治观念、法治思维和法治手段推动互联网发展治理，已经成为全球普遍共识。

进入新时代，在习近平新时代中国特色社会主义思想指引下，中国将依法治网作为全面依法治国和网络强国建设重要内容，努力构建完备的网络法律规范体系、高效的网络法治实施体系、严密的网络法治监督体系、有力的网络法治保障体系，网络法治建设取得历史性成就。

对于一键删除、格式化、恢复出厂设置这些操作能否彻底删除设备上的个人数据的问题，3·15信息安全实验室对此展开了专门的测试，测试表明：一键删除、快速格式化和默认不勾选“格式化SD卡和手机存储”等操作都不能完全将数据删除。技术人员提示：手机恢复出厂设置操作要将所有存储项目都进行勾选，手机里的个人信息才会被安全删除；对电脑硬盘和U盘中数据进行格式化时要去掉快速格式化勾选，这样的完全格式化才能保证数据信息安全删除。

近日，长安区委网信办主任黄勇带队在区市场监管局开展网络安全进机关活动，分享网络安全法、数据安全法、网络安全技术防范重点、网络安全风险要点、机关所队应对网络安全事件处置办法等有关内容。

提高风险化解的预判能力，为有诉求群众解决好实际问题，走好网上和线下群众路线。活动还对市场监管局网络安全设施配备、技术防范、人员力量、户外大屏管理等情况进行实地查看，实现日常化、常态化安全措施落实到位，确保网络安全环境保持最优状态。

为切实做好网络和信息安全保障工作，菏泽中行严格贯彻落实监管部门和上级相关工作要求，明确责任分工、开展专题培训、细化防护措施，全力做好网络和信息系统安全保障工作。

严格落实网络和信息安全保障工作要求，加强信息安全工作组织领导，成立安全保障领导小组和工作小组，按照“谁主管、谁负责，谁运行、谁负责”的原则，制定网络、系统及机房基础设施责任人清单，逐条线、逐领域、逐岗位明确任务分工，全面落实网络信息安全管理责任制，确保安全防护“人员到位、责任到位、措施到位、执行到位”。