“DefCon 27 黑客怎么采用Netflix账户窃取银行新闻”

上周末，在内华达州拉斯维加斯，千万黑客聚集在第27届年度defcon上。 这是世界上历史最悠久、规模最大的黑客大会，我从同事那里学到了最新的黑客技术。

展会期间，check point软件安全研究员eyal itkin (详情后述) say cheese、HowhowransomwaredyourdSlrcamera击败蓝牙低功耗5、谷歌家庭，

如果这是你的话，检查会议日程和这件事的媒体服务器大部分是免费的。

本报告将重点介绍如何采用安全专家cat murdock提供的在线订阅服务新闻(如netflix )的黑镜。 你是你自己的隐私噩梦。 在支付订阅服务的隐性威胁的演讲中，apple music或spotify可以访问银行账户窃取机密财务新闻。

美国60%的成年人口中至少有一人拥有订阅服务，guidepoint security的安全研究员默多克在独家采访中表示。 剩下的40%中有30%采用了60%的注册新闻！

以下说明攻击者如何使用netflix帐户访问银行新闻

要说会发生什么，那就是多家金融机构制定了顾客什么时候忘记账号的政策。 所以，如果你打电话说我在旅行中，我的抵押贷款支付有问题的话，请确认一下账户。 我不记得了。 之后有追踪账户公布方式的规则。 这因机构而异。 但是，很多时候，他们会首先询问社会保障号码的最后4位数字，但是很多时候，人们可能不知道，或者在你不希望的地方弄清楚。 因为，在没有客户，没有信用卡的情况下，他们会经历一系列的问题。 如果你只是在twitter上搜索netflix的话，大部分人最近都有投稿。 嘿，我刚收到新的netflix订阅。 你8月1日，他们今天刚买了新的netflix订阅。 然后，可以计算更新netflix订阅或任何订阅的月份日期，并与银行机构一起使用新闻说明帐户的所有权。 这是因为，如果客户的新闻不断增加，但不完全是客户，就会出现漏洞，无法验证是否存在问题。 银行机构采用公开新闻，如生日、地址、完整的法定姓名、开立银行账户的地点等。 特别是在客户没有很多移动的情况下，很容易找到。 因此，最初打电话时，不要首先请求提供账户。 然后，为了表示对账户的理解，采用您知道最近向账户收到的订阅服务这一事实。 你，嘿，所以我收到了这个奇怪的邮件。 其中一个短号码说昨天更新了我的netflix订阅。 这是我最近收到这个账户的钱。 可以验证余额吗？ 而且他们一定会说，这是你的账户余额，你很喜欢。 所以，现在你知道了。 我知道最近的收钱( netflix )、账户余额、两个重要消息。 然后，你可以继续前进。 你能帮我确认一下前几个费用吗？ 我只是想确认未决的费用不会改变平衡。 很多时候，有用的人会轻易交出看起来不重要的新闻。 你说，作为攻击者，甜蜜点，现在我有最后几个指控，我有账户余额。 因此，使用第一次调用以帐户为中心构建知识库。 我知道这个顾客在订阅服务上消费的副本和其他公开新闻。 那么，我第二次打电话，掌握了这些细节。 你能确认账户吗？ 但是，我不知道我的社会安全号码。 他们就是这样。 真好啊。 请给我看看这个列表。 包括近期收款在内的多家金融机构名单是否非常相似？ 可以验证这个未解决的请求吗？ 你的账户里有信用卡吗？ 有了所有这些新闻，几乎可以点击身份账户文件夹。 金融机构确认账户。

黑客是多次给同一金融机构打电话的多层攻击，但订阅服务一般是固定金额，任何研究供应商的人都可以找到固定费用。

此外，equifax和capital one违规后获得的所有新闻都使得攻击者目前对美国大部分人口有非常有力的新闻。

而且重要的是，在攻击者方面，记住这些是整个犯罪组织，不仅仅是身体，还消耗了大量的人力和时间，已经给个人总结了新闻。 默多克会解释的。

最后，默多克建议电话企业或金融机构设置口头或口头密码( 6位数以上)。 任何调用这个账户的人都必须知道。

阿瑟顿研究的见解

第一个建议是，尽可能多的人不透露自己。 我知道在包括我在内的社会交流网络时代，即使你觉得那个不重要，很多人也不会轻易这么做。