各位Buffer早上好，今天是2018年7月31日星期一，农历六月十九。今天份的BUF早餐内容有：卡巴斯基：新的加密挖掘恶意软件针对企业网络；Telegram发布个人身份验证工具，可共享“财务、代币发行”数据；三星智能家居平台SmartThings Hub出现大量漏洞；短信验证码不安全，两步验证App急需普及；工信部等13黄色の闪光部门联合：整治骚扰电话专项行动。

安全资讯早知道，两分钟听完最新安全快讯~

卡巴斯基：新的加密挖掘恶意软件针对企业网络

网络安全公司卡巴斯基研究室研究人员发现了一种针对多个国家公司的新型加密劫持恶意软件PowerGhost。这是一种无文件恶意软件，使用系统的本机进程来劫持计算机，已经在印度，巴西，哥伦比亚和土耳其的企业网络上传播。一旦安装在计算机上，该软件就会挖掘一种未被公开的加密货币。[bianews]

Telegram发布个人身份验证工具，可共享“财务、代币发行”数据

加密聊天应用Telegram发布了个人身份识别授权工具名为Telegram Passport，该工具可以加密用户的个人ID信息，让用户安全地与第三方分享他们的ID数据，包括“财务、ICOs等”。”新工具目前与数字支付运营商ePayments整合在一起，Telegram在他们的邮件中提到，ePayments是通过新工具“支持注册和验证的第一个电子支付系统”。EPayments确认了在其Telegram频道上的集成，并指出“只需单击几下就可以实现验证”。[bianews]

三星智能家居平台 SmartThings Hub 出现大量漏洞

思科研究人员近期在三星SmartThings Hubs中发现了20个漏洞，攻击者可利用漏洞进行监控、控制及干扰家庭设备。

三星SmaryThings Hub是一个中央控制器，用于实时监控和管理物联网设备，包括相机、恒温器、LED灯、智能插座、家庭报警系统以及运动探测器等，这些设备通过以太网、蓝牙Zigbee等多种技术链接。

攻击者可利用这些漏洞进行ddos攻击和远程代码执行，达到完全的操控效果。[helpnetsecurity]

短信验证码不安全，两步验证App急需普及

目前，短信验证码已被广泛应用于社交媒体、网站等各种平台上。可以帮助用户进行一系列敏感操作，也能让用户不输账号密码直接登陆。短信验证码一直是使用最广泛的两步验证法。但存在很多安全隐患。

SIM卡劫持可以通过多种方式实现（比如SIM卡克隆），可以完全控制一个手机号。比较低级的方法甚至可以在网上随便搜到教程，2017年黑帽大会上曾演示了只需一个手机号码就在一分钟之内劫持SIM卡的方法。

基于此，又衍生出了基于TOTP机制的两步验证APP，不需要任何网络连接（包括Wi-Fi），也不需要短信和SIM卡，验证码完全在手机本地生成。APP两步验证的存在将SIM卡劫持的可能性大幅降低。[cnbeta]

工信部等13部门联合：整治骚扰电话专项行动

工信部等13个国家部门（分别是工业和信息化部、最高人民法院、最高人民检察院、教育部、公安部、司法部、人力资源和社会保障部、住房和城乡建设部、文化和旅游部、国家卫生健康委员会、国家市场监督管理总局、中国银行保险监督管理委员会、中国证券监督管理委员会。）联合发布《综合整治骚扰电话专项行动方案》，决定自2018年7月起到2019年12月底，在全国范围内组织开展为期一年半的综合整治骚扰电话专项行动。

工作重点包括：严控骚扰电话传播渠道，全面提升技术防范能力，规范重点行业商业营销行为，依法惩处违法犯罪、健全法规制度保障。[cnbeta]