黑客工具“Sneaky 2FA”集成“浏览器中浏览器”技术,专门窃取微软账户凭据
据The Hacker News报道,安全研究人员发现知名的网络钓鱼即服务(PhaaS)工具包“Sneaky 2FA”近期进行了重大功能升级,集成了“浏览器中浏览器”(Browser-in-the-Browser, BitB)攻击技术。这一升级标志着钓鱼工具的复杂性进一步提升,使得即便是具备一定安全意识的用户也难以分辨真伪。
在此次观测到的攻击活动中,攻击者主要针对微软(Microsoft)账户凭据。
传统的钓鱼页面通常通过伪造的URL进行欺诈,但受过培训的用户往往会检查地址栏。而BitB技术通过在网页内部弹出一个完全由HTML和CSS渲染的伪造浏览器窗口(通常模拟SSO登录弹窗),能够完美复刻合法的URL地址栏(如login.microsoftonline.com)和安全锁图标。由于该弹窗实际上是父页面的一部分而非独立窗口,用户即使检查地址栏也会被其逼真的视觉效果欺骗。此外,Sneaky 2FA工具包还具备绕过双因素身份验证(2FA)的能力,它充当受害者与合法服务之间的代理,实时窃取会话Cookie。针对这一威胁,专家建议企业部署基于FIDO2的硬件密钥,因为此类物理验证方式不受视觉欺骗影响;同时,用户在输入凭据前应尝试拖动弹窗,若弹窗无法拖出浏览器边界,则极有可能是伪造的BitB攻击。
以色列安全公司Cyvore警告:钓鱼攻击激增2500%,全面渗透工作场所通讯渠道
据Ynetnews报道,以色列网络安全初创公司Cyvore发布最新数据指出,自2022年末以来,恶意的网络钓鱼信息数量激增了惊人的2500%,目前估计全球每天发起的钓鱼尝试高达150亿次。这一趋势表明,网络钓鱼已不再局限于传统的电子邮件系统,而是全面“溢出”到了现代工作场所的每一个沟通角落。
报告详细描述了攻击面的扩大化:攻击者正利用WhatsApp、Telegram、Slack、Microsoft Teams等即时通讯工具,以及Zoom等视频会议平台和CRM系统发起攻击。这种多渠道策略利用了员工在即时通讯中警惕性较低的心理Cyvore引入了一种基于AI的行为安全模型,旨在跨通信渠道检测恶意意图和操纵行为,而不仅仅依赖于传统的黑名单或签名检测。
专家指出,随着生成式AI的普及,攻击者能够以极低的成本生成高度定制化、语法完美的诈骗信息,使得社会工程学攻击更具说服力。针对这一严峻形势,企业安全团队必须重新评估防御边界,将监控范围从邮件网关扩展至所有协作工具,并加强对员工在移动端和即时通讯场景下的安全意识培训,特别是针对“老板诈骗”和紧急汇款请求的核实流程。
新加坡警方捣毁跨境钓鱼团伙,超7000名WhatsApp用户遭遇验证码劫持
据Stomp 报道,新加坡警察部队(SPF)近日展开全岛执法行动,成功逮捕了两名涉嫌参与跨国网络钓鱼诈骗的 27 岁男子。该诈骗活动波及范围广泛,已有超过7000名用户的WhatsApp账户成为攻击目标,部分受害者遭受了直接的经济损失,其中一名受害者损失高达1823新元。
事件始于2025年10月,大量用户收到声称来自WhatsApp官方的短信,内容谎称用户的账户因“长期未验证”而出现问题,诱导用户点击短信中的链接。该链接指向一个伪造的WhatsApp登录页面,一旦用户在页面中输入手机号码和随后收到的OTP(一次性验证码),攻击者便能立即接管其真实的WhatsApp账户。随后,诈骗分子利用被盗账户向受害者的联系人发送虚假的借款请求,利用熟人关系进行二次诈骗。
警方调查显示,这两名嫌疑人被认为是跨国犯罪集团的成员,负责在本地协助分发恶意短信。警方借此案再次提醒公众:官方平台通常不会通过短信索要验证码或要求点击链接登录;用户应在WhatsApp中启用“两步验证”(Two-Step Verification)功能,设置独立的PIN码,以防止验证码泄露后账户被直接接管。
三星Members应用内曝出钓鱼攻击,黑客伪装官方渠道诱骗用户
据Samsung Magazine报道,近期有大量三星用户报告称,在三星官方社区应用Samsung Members中遭遇了网络钓鱼攻击。这是一款预装在Galaxy设备上、旨在连接用户与官方支持及社区的应用程序,用户通常对其抱有极高的信任度,因此此次攻击具有极强的隐蔽性和欺骗性。
攻击者似乎找到了在该应用内发送伪造消息或利用社区互动功能的方法。受害者在应用内收到看似来自三星官方渠道的通知或私信,内容通常涉及“账户验证”“赢取独家奖品”或“安全警告”。这些消息诱导用户点击链接,进入伪造的三星账户登录页面,旨在窃取用户的Samsung Cloud凭据及个人敏感信息。由于消息出现在官方应用环境中,许多用户放松了警惕。
目前,安全社区推测攻击者可能是利用了应用内的直接消息功能或评论区的审核漏洞。针对此情况,安全专家建议用户:即使在官方应用内收到索要密码或个人信息的请求,也应保持高度怀疑;切勿通过消息内的链接登录账户,而应直接前往系统设置中查看账户状态;同时,务必为三星账户开启双重认证(2FA),以增加一道防线。
新型C2框架“Matrix Push”滥用浏览器通知功能,分发恶意软件与钓鱼页面
据Malwarebytes发布的最新研究报告,安全研究人员发现了一种名为“Matrix Push C2”的新型命令与控制(C2)框架。该框架采用“无文件”(Fileless)攻击策略,巧妙地滥用合法的浏览器网络推送通知(Web Push Notifications)功能,向受害者投递恶意软件、网络钓鱼页面以及数据窃取脚本。
与传统恶意软件不同,Matrix Push C2不依赖于在受害者设备上预先植入二进制文件。攻击链通常始于用户访问被挂马的网站或恶意着陆页,页面会诱导用户点击“允许”显示通知(例如通过伪造的“点击允许以确认您不是机器人”的验证码界面)。一旦获得权限,攻击者便建立了一条持久化的通信渠道,可以随时向用户的浏览器推送看似来自系统或合法应用的通知。这些通知被用来诱导用户下载恶意载荷或输入敏感信息。
该框架支持跨平台攻击,影响Windows、macOS和Linux用户。由于利用的是浏览器原生功能,传统的防病毒软件较难在早期阶段进行拦截。Malwarebytes建议用户在浏览器设置中严格限制通知权限,默认设置为“静默”或“询问”,并定期检查已允许通知的网站列表,移除不明来源的站点。
微软Entra访客邀请功能遭滥用,攻击者发起电话导向型(TOAD)钓鱼攻击
据SC World报道,网络犯罪分子正在利用微软Entra(原 Azure AD)的B2B租户邀请功能发起复杂的网络钓鱼活动。此次攻击结合了合法的微软基础设施与电话导向型攻击交付(TOAD)技术,旨在绕过邮件安全网关的检测并增加欺骗性。
攻击者通过合法的“invites@microsoft.com”地址发送真实的租户邀请邮件。然而,他们在邀请的自定义消息字段中嵌入了恶意内容,通常伪装成一份关于“Microsoft 365年度计划续费”的通知或发票,并附带一个虚假的“微软账单支持”电话号码。由于邮件本身确实来自微软官方域,传统的SPF/DKIM校验和垃圾邮件过滤器往往会将其放行。
一旦受害者因质疑“扣款”而拨打邮件中的电话,攻击者便会通过社会工程学话术诱导受害者安装远程桌面软件,或访问钓鱼网站输入凭据,甚至直接进行转账操作。研究人员Matt Taggart指出,这种利用官方平台“寄生”的攻击方式极其危险。建议企业管理员严格审查Entra ID中的外部协作设置,限制谁可以邀请访客,并教育员工警惕任何要求“拨打电话取消订单”的官方邮件,务必通过官网验证联系方式。
警惕“rnicrosoft.com”域名欺诈,新型密码重置钓鱼邮件瞄准企业用户
据Economic Times报道,网络安全专家近期发现了一起针对企业用户的精细化钓鱼活动,攻击者利用“泰波蹲守”(Typosquatting)技术,注册了与微软官方域名极度相似的“rnicrosoft.com”(利用‘r’和‘n’组合模仿‘m’)。该活动主要伪装成微软的安全通知,要求用户立即更改密码。
在这类攻击中,受害者会收到标题为“密码过期通知”或“安全警报”的电子邮件。邮件设计风格严格遵循微软的官方视觉规范,且发件人地址在某些字体下极难分辨真伪。邮件中的链接指向一个伪造的Microsoft 365登录页面,旨在窃取用户的企业邮箱凭据。一旦得手,攻击者可能利用该账户进行商业邮件诈骗(BEC)或进一步渗透企业内网。
专家警告,视觉欺骗是此类攻击的核心。除了依靠邮件网关的拦截外,最终用户的安全意识至关重要。建议用户在处理此类邮件时:1. 仔细检查发件人域名的拼写,注意字符组合;2. 不要直接点击邮件中的“重置密码”按钮,而是自行在浏览器中输入官方网址登录;3. 启用多因素身份验证(MFA),即使密码泄露,攻击者也难以轻易登录。
World Liberty Financial确认预发布阶段钱包遭入侵,源于第三方钓鱼攻击
据Bitget News报道,备受关注的加密货币项目World Liberty Financial (WLFI) 近日确认,在其代币正式发布前夕,部分用户钱包遭遇了未经授权的访问。项目方经过调查后发表声明称,此次安全事件并非源于其智能合约的设计缺陷,而是由第三方的安全漏洞以及针对性的网络钓鱼攻击所致。
事件发生时,WLFI正处于代币推出的准备阶段,市场关注度极高,这也吸引了黑客的注意。攻击者利用钓鱼手段获取了部分早期参与者的钱包私钥或授权,导致资金在重新分配前被转移。尽管项目方强调核心平台并未被攻破,但此次事件暴露了去中心化金融(DeFi)项目中外部依赖项和用户端安全的脆弱性。
目前,WLFI已冻结了受影响的钱包,并计划进行资金重新分配,同时呼吁用户尽快完成KYC(了解你的客户)验证以恢复账户状态。安全专家借此案例提醒加密货币投资者:在项目启动等高热度时期,钓鱼攻击尤为猖獗,务必警惕假冒的空投链接、伪造的官方支持账号,切勿在任何非官方验证的页面签署钱包授权或输入助记词。
新型钓鱼工具包瞄准意大利实体,伪装公共服务窃取凭据
据KnowBe4博客发布的警报,安全研究人员发现了一款专门针对意大利用户和组织的新型网络钓鱼工具包。该工具包在暗网论坛和非法电报频道中流传,显示出攻击者正在根据地理区域定制攻击策略,以提高欺骗成功率。
虽然具体的攻击细节仍在持续披露中,但此类针对特定国家的工具包通常会伪装成当地常用的公共服务、税务机构(如Agenzia delle Entrate)或主流银行/邮政服务(如Poste Italiane)。它们往往利用意大利特有的数字身份系统(如 SPID)作为诱饵,诱导受害者在伪造的登录页面上输入敏感信息。该工具包可能集成了自动化的反检测功能,能够识别并屏蔽来自非意大利IP地址的访问,从而躲避国际安全研究人员的分析。
针对这一特定威胁,建议与意大利有业务往来的组织及意大利本地用户提高警惕。防御措施包括:严格核实所有涉及行政、税务或银行事务的邮件来源;检查URL是否与官方域名完全一致;以及在组织内部实施针对性的模拟钓鱼测试,让员工熟悉此类本地化的诈骗手法。
印第安纳大学发出警报:钓鱼邮件瞄准高等教育机构工资系统
据印第安纳大学(Indiana University, IU)官方新闻发布,该校近期检测到一波针对其员工的网络钓鱼攻击,攻击者的主要目标是窃取员工的大学账户凭据,进而篡改工资单中的直接存款信息。这是一起典型的针对高等教育行业的工资单转移诈骗(Payroll Diversion Scam)。
攻击者发送的钓鱼邮件通常伪装成大学人力资源部门或IT支持部门,主题涉及“工资单更新”“账户验证”或“紧急税务通知”。邮件包含一个链接,指向伪造的IU统一认证(CAS)登录页面。一旦员工输入账号密码,攻击者便会迅速登录自助服务门户,试图将工资存款账户更改为攻击者控制的银行卡或预付卡账户。
校方已敦促所有员工保持高度警惕,并发布了紧急指南:1. 仔细检查发件人地址,不要轻信显示名称;2. 启用并强化Duo双重认证(2FA),警惕未发起的推送请求;3. 定期登录工资系统检查银行账户信息是否被篡改。此外,IU信息安全办公室强调,官方绝不会通过邮件要求用户提供密码或点击链接进行紧急账户验证。
哈佛大学数据库遭入侵,源于针对性的电话钓鱼攻击
据Mezha.ua报道,哈佛大学近日披露了一起数据泄露事件,其部分数据库遭到未经授权的访问。根据初步调查,此次入侵并非通过直接的技术漏洞利用,而是源于一起针对大学工作人员的电话钓鱼(Vishing)攻击,导致攻击者获取了关键系统的访问权限。
受影响的数据库包含校友、捐赠者以及部分学生和教职员工的信息。泄露的数据类型涉及个人联系方式、捐赠记录以及与校友活动相关的其他信息。哈佛大学在发现异常后立即切断了攻击者的访问路径,并启动了应急响应机制,目前正在与外部网络安全专家及执法机构合作进行深入调查。
这起事件再次凸显了“人”是安全链条中最薄弱的一环。电话钓鱼攻击者通常伪装成IT技术支持或行政人员,利用紧迫感或权威性诱骗受害者交出密码或批准多因素认证请求。针对此类攻击,安全专家建议机构加强对员工的反社会工程学培训,建立严格的身份验证流程(如回拨验证),并对敏感数据库实施更细粒度的访问控制和异常行为监控。
佛罗里达州律师协会发布警报:冒充DocuSign的钓鱼邮件正在流传
据佛罗里达州律师协会(The Florida Bar)官网发布的消息,近期出现了一波针对法律从业者及公众的恶意网络钓鱼活动。诈骗分子发送伪装成来自佛罗里达州律师协会的电子邮件,主题通常涉及“DocuSign文件签署请求”或“会员资格更新”,诱导收件人点击恶意链接。
协会明确声明,这些邮件并非来自官方,且佛罗里达州律师协会从不使用DocuSign服务向会员发送此类通知。攻击者利用了法律行业对电子签名平台的高度依赖性以及对监管机构的信任。点击邮件中的链接可能会导致计算机感染恶意软件,或将用户重定向至伪造的登录页面以窃取律师门户网站(Florida Bar Portal)的凭据。
协会建议所有收到此类可疑邮件的会员:1. 切勿点击任何链接或下载附件;2. 立即删除该邮件;3. 如有疑问,应直接通过官网提供的官方电话或电子邮件联系协会进行核实。此外,建议律师事务所加强邮件过滤规则,并提醒员工注意检查发件人域名的真实性,防止凭据泄露导致客户数据风险。
年终购物季警报:伪装DHL的包裹追踪钓鱼短信激增
随着“黑色星期五”和圣诞购物季的临近,针对在线购物者的网络钓鱼活动进入高峰期。据Heise Online及多家安全机构监测,近期冒充DHL等物流巨头的诈骗短信(Smishing)和邮件显著增加。攻击者利用消费者等待包裹的急切心理,发送虚假的“配送异常”或“需要支付关税”通知。
此类钓鱼信息通常包含一个缩短的链接,点击后会跳转至伪造的DHL追踪页面。页面要求用户输入个人信息以“重新安排投递”,或要求支付小额费用(如1.99欧元)以清关。一旦用户输入信用卡信息,不仅资金会被盗刷,卡片信息也会在暗网被出售。此外,部分攻击还会诱导安卓用户下载伪装成快递应用的恶意APK文件,从而完全控制受害者的手机。
安全专家建议用户在购物高峰期保持高度警惕:1. 仅通过DHL官方App或直接在浏览器输入官网地址查询包裹,切勿点击短信链接;2. 警惕任何要求额外付款的通知,官方通常不会通过短信索要支付信息;3. 注意检查链接域名,攻击者常使用类似“dhl-track-support.com”的混淆域名。
新加坡警方警示:冒充AXS的搜索引擎钓鱼案件再度激增
新加坡警方近日发布通告,警示公众注意近期冒充AXS支付平台的搜索引擎钓鱼案件激增。犯罪分子通过在搜索引擎投放虚假广告,诱导用户点击伪造的AXS网站链接,进一步窃取用户敏感信息和资金。受害者通常在搜索支付服务时误入钓鱼网站,输入个人资料后即遭受财产损失。警方提醒市民务必核实网站域名,避免通过搜索引擎直接点击广告进入金融服务网站,并建议启用双重身份验证及使用官方应用程序进行支付。专家指出,随着钓鱼手法日趋隐蔽,公众需提高警惕,定期更新安全意识,防范个人信息泄露。
黑客利用语音钓鱼攻击,金融公司Mitre遭重大安全事件
Mitre金融公司近日披露遭遇黑客通过语音钓鱼(vishing)攻击,导致敏感数据泄露。攻击者假冒公司高管,通过电话诱骗员工泄露账号和密码,进而侵入内部系统。此次事件不仅影响了公司运营,也暴露出语音钓鱼手法的高隐蔽性和高危害性。安全专家建议企业加强员工安全培训,建立多层次身份验证机制,并对可疑来电进行严格核查。Mitre表示已采取应急措施并与执法部门合作调查,呼吁行业高度重视语音钓鱼威胁,提升整体防护水平。
Group-IB报告:AI语音深度伪造诈骗激增,全球企业面临新威胁
网络安全公司Group-IB最新报告指出,利用AI技术进行语音深度伪造(deepfake)诈骗案件大幅增加。攻击者通过合成高管或重要员工的声音,实施电话钓鱼,骗取巨额资金或敏感信息。报告分析了多起典型案例,显示企业财务部门和高层管理人员是主要目标。专家建议企业采用多因素身份验证,加强员工对语音钓鱼和深度伪造的识别能力,同时建立内部核查机制,防止单一电话指令导致资金转移。Group-IB警告,随着AI技术普及,深度伪造诈骗将持续演变,企业需提前部署智能防护措施。
钓鱼攻击利用WinRAR漏洞安装RomCom恶意软件,威胁升级
近期网络安全专家警告,黑客利用WinRAR软件漏洞(CVE-2025-8088)发动钓鱼攻击,安装RomCom恶意软件。攻击流程包括发送带有恶意压缩包的钓鱼邮件,诱使用户点击并感染系统。RomCom具备数据窃取和远程控制能力,对企业和个人均构成严重威胁。专家建议用户及时更新WinRAR,避免打开可疑附件,企业应部署邮件安全网关和漏洞扫描工具。此类攻击显示,软件漏洞与钓鱼邮件结合正成为新型网络威胁。
Aave投资者遭谷歌广告钓鱼攻击,资产安全面临新挑战
据报道,Aave投资者近期通过谷歌广告误入钓鱼网站,导致加密资产被盗。攻击者利用搜索引擎广告推广虚假链接,诱导用户输入敏感信息。专家建议投资者仅信任官方平台,避免通过广告或第三方链接访问钱包服务。区块链安全机构呼吁加强广告审核和用户教育,防止钓鱼攻击蔓延。此次事件警示加密资产投资者需提升安全意识,谨慎操作每一步资产管理流程。
Mozilla邮件钓鱼骗局频发,用户需警惕假冒官方邮件
近日安全专家警告,黑客频繁利用假冒Mozilla官方邮件进行钓鱼攻击,诱骗用户点击恶意链接或下载伪装软件。受害者多因误信邮件内容,导致账户信息和系统安全受损。专家建议用户核实邮件发件人地址,避免点击未知链接,及时更新安全软件。Mozilla官方也提醒用户通过官方网站获取信息,遇到可疑邮件可向客服核实。此次事件凸显品牌钓鱼攻击风险,用户需提升识别和防范能力。
网络犯罪新趋势:用户应对钓鱼攻击方式发生变化
近期研究显示,网络犯罪分子不断调整钓鱼攻击策略,用户应对方式也在发生变化。报告指出,攻击者通过个性化邮件和社交工程手段提高钓鱼成功率,而用户则逐渐采用安全插件、双重认证和主动举报等措施应对。专家建议企业持续开展安全教育,推广最新防护技术,鼓励员工及时反馈可疑信息。随着钓鱼攻击手法不断演变,个人和组织需不断提升安全意识,建立多层次防护体系,以有效减少损失和风险。
供稿:北京中科易安科技有限公司(公共互联网反网络钓鱼成员单位)
编辑:芦笛(公共互联网反网络钓鱼工作组)
扫一扫
3835
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
