黑客百万美元悬赏0day漏洞

1、黑客百万美元悬赏0day漏洞

闷声发大财是很多黑客的行事原则，不过也有一些对低调行事毫无概念的黑客，活跃于暗网论坛中。

比如今年5月，就有黑客在暗网论坛出价两万刀购买CVE-2021-22893漏洞PoC，两天后，另一名黑客开价15万刀求Windows 10漏洞，更有土豪300万刀悬赏Windows 10和Linux的RCE漏洞，简直了。相比正经漏洞收购公司，如Zerodium的报价，黑客个人报价反而高得多——对于Windows 10的RCE漏洞，Zerodium“仅仅”会付出100万刀。而且还有一些都市传说，安全研究员称曾有黑客提出1000万美元的天价购买0day漏洞，但是没有公布相关截图等证据。

考虑到如今高的价格和风险，安全研究员分析，这些购买者可能是大型黑客组织或国家级黑客，才会选择这种更私密但不便的交易方式。[阅读原文]

 

 

2、BitConnect仅剩的5000万资产作为赔偿分给受害者

美国执法部门已开始清算BitConnect的剩余可执行资产，将其作为赔偿分配给欺诈事件的受害者。

虽然他们扣押了超5000万美元的资产，但相比BitConnect欺诈所得的20亿美元来说，就真的是杯水车薪了。不过美国司法部称这是迄今为止最大的一笔追回赃款，认为这是相当成功的。

BitConnect早在2016年就开始运营，并推出自己的货币BCC（BitConnect Coin），且日收益高达1%，因此迅速发展。很快监管部门就找上门来，怀疑他们在搞庞氏骗局，平台当然是不会承认。两年后，平台关闭，BCC价格也跌落谷底，监管部门紧急冻结资产，可惜来不及了。2021年9月1日，平台创始人认罪伏法，面临最高20年监禁，两倍赃款罚金，但受害者蒙受的巨大损失大概率是收不回来了。[阅读原文]

 

3、黑客假冒Tiktok员工威胁删号进行勒索

安全研究员监测到最近有黑客冒充Tiktok员工对用户实施勒索。

这种勒索并不算特别高明，只是利用了用户紧张的心情，广撒网，谁中计，谁倒霉。黑客会向受害者发邮件称自己是Tiktok员工，用户因违反平台条款马上要被销号，要想不被销号就要进行账号验证，当然只要输了账号密码那么账号就会归黑客所有。

尴尬的是，之后黑客就真的可以利用删号进行勒索了，比如发一些不太好的东西之类的。通常用户都会选择破财消灾，保住自己的账号。所以在此提醒大家，一定要关注自己账号的安全，收邮件也要多加注意，这次黑客甚至都懒得用一些相似域名进行伪装，直接用的普通邮箱都可以成功得手……[阅读原文]

 

4、暗网售卖漏洞利用的黑客部分是真的在浑水摸鱼

2016年SS7漏洞公开后，很快就出现了漏洞利用，直到如今还是重量级漏洞。不过安全研究员发现，有一些黑客是真的在黑客论坛浑水摸鱼。

他们对论坛售卖SS7利用的黑客进行了调研，筛选后得到如下四家：SS7 Exploiter、SS7 ONLINE Exploiter、SS7 Hack和Dark Fox Market。无一例外他们都提供短信拦截、位置跟踪等功能，但安全研究员调查后，发现都存在极大的诈骗嫌疑，甚至SS7 Hack网站都是复制的今年才建立的clearnet。Dark Fox Market看起来很正规，每个目标收费也高达180美元，不过研究员发现16年俄罗斯黑客就上传过和他们一样的演示视频……尽管如此，通过对加密货币交易监测，他们正源源不断收到世界各地用户的汇款。

当然，真的漏洞利用还是有的，不过隐藏在更深处，和商业搜索引擎一样，你在暗网上搜索到的东西，也存在亿点点“竞价排名”。[阅读原文]

 

5、印度想禁加密货币但又不完全想禁

据报道印度想禁止加密货币在印度境内进行交易，但又想允许作为资产持有加密货币。

消息人士称，这种政策是为了避免对加密货币实施全面禁令，这可能是加密货币利益方和政府协调沟通的结果。

上周莫迪主持了一次讨论加密货币未来的会议，不过会议中各方对加密货币前景都不是很看好，很可能全面禁止是逃不掉的，只是看他们能和印度政府周旋多久。[阅读原文]