公共互联网反网络钓鱼
关注
分享
扫一扫
文章平均质量分 82
中国互联网络信息中心(CNNIC)公共互联网反网络钓鱼工作组
芦熙霖
芦笛、字熙霖、号草竹道人、古木居士:作家、书画家、设计师、编导、旅者、程序员。毕业于鲁迅美术学院、中国人民大学哲学院,中国互联网络信息中心(CNNIC)工程师,公共互联网反网络钓鱼工作组技术专家;曾供职中国科学院计算机网络信息中心,中国计算机学会会员、中国密码学会会员、中国散文学会会员;2014~2017周游亚欧非各国,曾签约优酷拍客、上海i时代报、金城出版社、创世中文网。联系:Ludi@cnnic.cn 或 Ludi@vip.qq.com(研究方向:网络安全、Web3安全、区块链、IPv6);QQ:1149966910;TEL:13366119910
展开
专栏收录文章
- 默认排序
- 最新发布
- 最早发布
- 最多阅读
- 最少阅读
-
全球网络钓鱼动态简报(2026年1月)
客户端,诱导受害者下载恶意软件。安全专家指出,假期是此类社会工程学攻击的高发期,建议用户直接访问服务商官网查看文档状态,切勿直接点击邮件中的“查看文档”按钮,并对任何未申请过的“预批贷款”保持高度警惕。安全专家建议企业加强对员工的安全意识培训,警惕来源不明的二维码,并建议使用具备二维码扫描安全检测功能的移动安全解决方案,避免直接使用原生相机扫描不明码源。安全专家建议企业调整邮件过滤规则,不仅仅依赖发件人信誉,还需对邮件内容的上下文及链接目标进行深度分析,同时加强员工对“合法来源恶意邮件”的识别能力培训。原创 2026-01-08 14:08:57 · 528 阅读 · 0 评论
-
全球网络钓鱼动态简报(2025年12月)
针对这一严峻形势,企业安全团队必须重新评估防御边界,将监控范围从邮件网关扩展至所有协作工具,并加强对员工在移动端和即时通讯场景下的安全意识培训,特别是针对“老板诈骗”和紧急汇款请求的核实流程。安全专家借此案例提醒加密货币投资者:在项目启动等高热度时期,钓鱼攻击尤为猖獗,务必警惕假冒的空投链接、伪造的官方支持账号,切勿在任何非官方验证的页面签署钱包授权或输入助记词。)官方新闻发布,该校近期检测到一波针对其员工的网络钓鱼攻击,攻击者的主要目标是窃取员工的大学账户凭据,进而篡改工资单中的直接存款信息。原创 2025-12-03 17:45:35 · 481 阅读 · 0 评论 -
全球网络钓鱼动态简报(2025年11月)
建议企业及时升级安全网关,采用行为分析等先进检测手段,并持续加强员工的安全教育,以应对不断演化的钓鱼威胁。专家建议企业加强员工安全培训,提升对钓鱼信息的识别能力,并部署先进的安全监控工具,及时发现和阻止异常行为。专家建议企业加强内部邮件安全检测,定期开展钓鱼防范培训,提高员工识别可疑邮件的能力,尤其要警惕那些冒充内部人员的钓鱼攻击。攻击者精心伪造邮件内容,诱导目标点击恶意附件或链接,一旦感染,攻击者可实时窃取受害者输入的敏感信息,包括密码、财务数据等。等)来包装钓鱼链接,从而绕过企业安全检测。原创 2025-11-04 06:11:34 · 834 阅读 · 0 评论 -
全球网络钓鱼动态简报(2025年10月)
专家建议银行和用户加强沟通,提升防诈骗意识,强化账户安全措施,遇到可疑信息时务必通过官方渠道核实,避免个人信息和财产遭受损失。专家指出,企业应定期更新安全策略,加强员工网络安全培训,采用多重身份验证机制,以防范因信息泄露导致的合规和财务风险。同时,移动设备用户面临的钓鱼攻击数量持续上升,攻击手法日益多样化,包括伪装成银行、快递和政府机构的短信或应用通知。安全纳入整体网络安全战略,持续更新员工培训内容,强化多层次身份验证和异常行为监测,形成“人机协同”的新型安全防线,以应对不断升级的智能化网络威胁。原创 2025-10-16 09:19:53 · 788 阅读 · 0 评论 -
全球网络钓鱼动态简报(2025年9月)
专家指出,AI钓鱼攻击难以被传统安全系统识别,企业需采用AI驱动的安全防护工具,加强员工安全意识培训,构建多层次防御体系。事件再次提醒各国关键部门需加强对邮件安全的管控,定期更新系统补丁,部署多层防御机制,并对高管人员进行定向安全培训,以防止高级持续性威胁(APT)和定向钓鱼攻击带来的重大安全风险。由于CapCut在全球拥有大量年轻用户,攻击范围广泛、影响深远,因此专家提醒用户务必通过官方应用商店下载软件,警惕来源不明的链接和弹窗,定期更新安全软件,避免因追逐热门应用而落入网络陷阱。原创 2025-10-15 13:50:13 · 1061 阅读 · 0 评论 -
一封“银行转账确认”邮件,挂载ISO后电脑变“透明”——Phantom Stealer借光盘镜像潜入俄金融系统
更令人警觉的是,攻击者刻意选用ISO镜像作为载体,既绕过了传统邮件网关对ZIP/RAR等压缩包的深度检测,又利用了普通用户对“光盘文件”安全性的认知盲区。然而,就在用户点击“打开”的瞬间,名为 Phantom Stealer 的信息窃取木马便在后台悄然激活——浏览器密码、加密货币钱包私钥、Discord令牌、信用卡信息乃至剪贴板内容,尽数被扫描打包,通过Telegram机器人或Discord Webhook传回攻击者手中。从用户视角看,ISO只是一个“只读光盘”,不会触发“运行未知程序”的安全警告。原创 2026-01-10 09:56:48 · 351 阅读 · 0 评论 -
AI教人防钓鱼?巴里大学研究揭示生成式AI如何成为安全培训的“新教官”
结果显示,接受AI定制化培训的用户,在面对高度仿真的钓鱼邮件时,识别准确率显著提升——尤其是在处理那些语言自然、逻辑缜密、伪装精巧的新型攻击样本时,优势更为明显。该方法仅将用户的职业(如“教师”“IT工程师”)和常用服务(如“Gmail”“Amazon”)插入提示词,AI便能自动生成相关场景:“您的Google Workspace教育账户即将停用,请立即验证……更糟的是,由于培训内容更新缓慢,员工往往在测试中“凭记忆答题”,而非真正掌握判断逻辑——这正是研究中提到的“背题现象”。“这其实是个好消息。原创 2026-01-10 09:55:34 · 360 阅读 · 0 评论 -
当议员邮箱成为攻击入口:鱼叉式钓鱼如何悄然渗透国家权力中枢?
出于工作习惯,他点击了“启用”。“现在的鱼叉攻击,已经不是‘猜你喜欢’,而是‘知道你需要什么’,”公共互联网反网络钓鱼工作组技术专家芦笛指出,“攻击者在动手前,往往已完成一份完整的‘目标画像’,包括职务权限、沟通风格、焦虑点和信任关系。“加密通讯工具本为保护隐私而生,如今却被反向利用为攻击通道,”芦笛感叹,“这提醒我们:任何建立在‘用户信任’基础上的系统,都可能成为社会工程的突破口。“我们不能等到出事才重视,”芦笛强调,“政治人物的数字身份,本质上是一种‘国家资产’,其防护等级应等同于关键信息基础设施。原创 2026-01-10 09:54:18 · 658 阅读 · 0 评论 -
Spiderman钓鱼套件横扫欧洲银行:一场“本地化”骗局正在改写网络金融安全规则
据安全公司 HackRead 与 SC Media 联合披露,该工具已形成完整的“钓鱼即服务”(PhaaS)生态,从邮件模板、页面托管到凭证管理,一应俱全,甚至支持自动适配德语、法语、意大利语等十余种欧洲本地化UI。更值得警惕的是,Spiderman 套件内置反自动化检测机制,能识别安全扫描器并返回“干净页面”,有效规避传统威胁情报系统的监控。Spiderman 钓鱼套件最令人不安的,不是它的技术有多复杂,而是它让欺骗变得“合理”甚至“体贴”。同时,鼓励银行向监管部门报送钓鱼样本,形成国家级威胁图谱。原创 2026-01-10 09:52:33 · 362 阅读 · 0 评论 -
一键“克隆银行”?“蜘蛛侠”钓鱼套件引爆全球金融网络钓鱼新风暴
据网络安全媒体Cyber Press最新披露,一款名为“Spiderman”(蜘蛛侠)的钓鱼工具包已在暗网论坛和Telegram群组中广泛流通,成为网络犯罪分子批量伪造银行登录门户的“利器”。攻击者只需选择目标机构(例如“Deutsche Bank - Germany”),点击“Index This Bank”,系统便自动抓取真实官网的前端资源(包括Logo、字体、配色、响应式布局),并生成一个功能完整的钓鱼页面。这场由“蜘蛛侠”掀起的风暴,不仅是技术层面的升级,更是网络犯罪商业模式的质变。原创 2026-01-10 09:51:22 · 241 阅读 · 0 评论 -
当钓鱼邮件“比你老板还像你老板”:AI如何重塑网络钓鱼,我们又该如何应对?
未来的安全培训,不应再是“识别钓鱼十大特征”的填鸭式教学,而应融入行为心理学和决策科学——教会员工识别“情绪操纵信号”,理解“权威服从陷阱”,并在压力下保持元认知能力(即“知道自己在思考”)。她没有多想,点击邮件中的“查看新收款账户”按钮,跳转到一个与公司内部财务系统几乎一模一样的登录页。同时,组织需提供低摩擦的报告通道。“WebAuthn不是‘更强的MFA’,而是‘不同的认证范式’,”芦笛强调,“它把信任锚点从‘你知道什么’(密码)转移到‘你拥有什么+你是谁’(设备+生物特征),且全程无共享密钥。原创 2026-01-10 09:50:10 · 118 阅读 · 0 评论 -
4万起金融钓鱼攻击席卷全球:一封“税务退款”邮件,可能掏空你的账户
这些攻击并非零星试探,而是高度协同、节奏精准的“社会工程流水线”——利用人们对资金安全、税务合规和投资机会的天然敏感,在季度结算、年终报税等关键节点集中爆发。2025年10月,一家德国中型制造企业财务部门收到一封“来自CEO”的紧急邮件:“请立即处理附件中的供应商付款,合同已签署,今日必须到账。攻击者伪装成“网商银行”“微众银行”或“地方税务局”,以“经营贷审批通过”“增值税退税”为由,诱导用户点击链接填写银行卡号、身份证、手机号及短信验证码。随着生成式AI普及,钓鱼邮件的语言质量显著提升。原创 2026-01-10 09:48:53 · 155 阅读 · 0 评论 -
一场“前端消失”的骗局:ZEROBASE仿冒事件揭开Web3钓鱼新范式
该地址部署了一个名为“Vault”的智能合约,其ABI(应用二进制接口)与标准ERC-20代币授权函数完全一致,但逻辑经过精心篡改——一旦用户调用approve()函数授予其无限额度(即amount = type(uint256).max),该合约即可随时调用transferFrom()将用户账户中的USDT转走。实际上,该插件会监听页面中的DApp连接请求,并在用户点击“Connect”时注入伪造的授权弹窗,将目标地址替换为攻击者合约。“这不是钓鱼邮件,也不是虚假APP,而是一次精准的‘前端劫持’。原创 2026-01-10 09:47:37 · 161 阅读 · 0 评论 -
钓鱼攻击之后,你的密码去了哪里?——一场横跨暗网、Telegram与企业内网的数据黑市追踪
他立刻登录查看——果然,后台多了几个陌生的API密钥,部分虚拟机已被删除。“这相当于把过去的‘邮政投递’升级成了‘快递闪送’,”公共互联网反网络钓鱼工作组技术专家芦笛解释道,“攻击者现在能实时看到‘猎物上钩’,甚至可以根据地理位置决定是否立即行动——比如,如果受害者IP显示在北京金融街,他们可能会优先处理。“很多企业以为开了MFA就万事大吉,但钓鱼可以绕过它,”芦笛强调,“比如通过伪造的MFA确认页面诱导用户点击‘Approve’,或者利用OAuth授权钓鱼——让用户授权一个恶意应用,从而获得长期访问权。原创 2026-01-10 09:46:21 · 327 阅读 · 0 评论 -
GhostFrame钓鱼套件席卷全球:一场藏在“视频播放器”里的身份盗窃风暴
更令人警惕的是,它并非依靠复杂的漏洞利用或零日攻击,而是巧妙地“寄生”于现代网页最基础的元素之一——iframe,并辅以动态子域名、反调试机制和伪装成图像流的登录表单,成功绕过大量传统安全检测。2025年11月,国内某头部电商平台的安全团队曾拦截一批针对商家的钓鱼邮件,主题为“店铺资质复审”,链接指向一个伪装成“阿里云文档”的页面。更棘手的是,国内部分中小企业缺乏高级终端防护能力,依赖基础防火墙和邮件过滤,对GhostFrame这类“无恶意载荷、纯前端欺骗”的攻击几乎无能为力。原创 2026-01-10 09:41:30 · 107 阅读 · 0 评论 -
当“安全链接”变成钓鱼入口:Mimecast漏洞事件敲响邮件信任体系警钟
更讽刺的是,整个过程在 Mimecast 的安全扫描阶段显示为“无害”,只有当真实用户点击时,才触发恶意重定向。Mimecast 在事件曝光后迅速发布声明,称已优化其动态扫描引擎,增加对 User-Agent 欺骗的检测,并计划引入“多轮交互验证”——即模拟用户滚动、点击等行为,逼迫钓鱼页面暴露真实面目。另一起未公开披露的案例中,一家制造业企业因点击类似链接,导致其部署在腾讯企业邮环境中的 Mimecast 代理链接被滥用,钓鱼页面成功窃取数十名采购人员的邮箱凭证,后续用于伪造付款指令。原创 2026-01-09 09:46:58 · 440 阅读 · 0 评论 -
钓鱼套件“军火化”:GhostFrame、BlackForce等新型工具正绕过MFA,大规模窃取数字身份
事后分析显示,他访问的并非普通钓鱼页,而是一个由BlackForce钓鱼套件生成的中间人(MitB)攻击界面——在他输入一次性验证码(OTP)的瞬间,凭证已被实时转发至攻击者服务器。“这就像从‘土枪’升级到‘智能导弹’,”公共互联网反网络钓鱼工作组技术专家芦笛比喻道,“攻击者不再需要懂代码,只需在Telegram群组花50美元租用面板,选择目标品牌(如Netflix、Microsoft 365),系统自动生成高仿页面、分配短链接、收集凭证,并提供实时仪表盘。黑客伪造“教务系统升级通知”,诱导师生登录。原创 2026-01-09 09:45:28 · 645 阅读 · 0 评论 -
当钓鱼邮件不再有错别字:AI如何重塑网络诈骗的“工业化流水线”
2025年11月,一家位于德国慕尼黑的中型制造企业财务主管收到一封“来自CEO”的紧急邮件:“请立即处理一笔48万欧元的供应商预付款,合同已附,勿对外声张。更可怕的是,AI能根据LinkedIn或企业官网公开信息,自动插入收件人姓名、职位、近期项目等细节,实现“千人千面”的鱼叉攻击。已有安全团队监测到中文钓鱼邮件使用Qwen生成,话术更贴合国内职场文化——例如冒充“集团纪检组”要求“配合调查”,或伪装“HR通知”诱导点击“年度评优链接”。AI钓鱼的崛起,标志着网络安全进入一个“后信任时代”。原创 2026-01-09 09:44:03 · 258 阅读 · 0 评论 -
钓鱼攻击一年暴涨400%!当AI成为诱饵,你的员工还能守住最后一道防线吗?
更值得警惕的是,攻击者不再满足于伪造银行登录页或发票附件,而是将矛头精准对准了当下最热门的话题——生成式AI、混合办公、人力资源福利——并利用邮件、短信、即时通讯工具构建多通道“围猎”体系。试试这个备用地址”。英文钓鱼常用拼写错误(如 “Amaz0n”),但中文可通过同音字、形近字(如“帐户” vs “账户”、“微倍” vs “微信”)实现高度仿真,且缺乏成熟的语义分析模型。”芦笛坦言,“安全培训的目标不是追求100%免疫,而是把‘犯错成本’降到最低——比如让员工知道,点错了可以一键举报,而不是默默忍受。原创 2026-01-09 09:42:44 · 247 阅读 · 0 评论 -
邮件轰炸成“数字烟雾弹”?Darktrace数据揭示新型掩护式钓鱼攻击激增百倍
这些数字背后,是一场正在演化的攻防博弈:攻击者不再只靠“骗”,而是先“淹”,再“骗”。事后调查发现,那场“促销邮件洪流”并非巧合,而是一次精心策划的邮件轰炸(Email Bombing)攻击——攻击者故意用海量低风险邮件“淹没”目标邮箱,制造信息过载,从而掩护真正高价值的钓鱼指令在混乱中得手。2025年9月,新能源材料公司NioCorp因BEC攻击损失近50万美元,事后复盘发现,攻击前48小时内,其CFO邮箱收到超12,000封“订阅类”邮件,全部来自不同但合法的营销平台子域名。原创 2026-01-09 09:41:26 · 417 阅读 · 0 评论 -
一封被黑的邮件,引爆一场数据合规风暴——根西岛牙科诊所钓鱼事件背后的医疗信息安全困局
),且未启用多因素认证(MFA)。更严重的是,这场看似技术层面的入侵,迅速演变为一场法律与合规危机:根西岛数据保护局(ODPA)随后认定该诊所违反《数据保护(根西岛)法》,因其未能采取“合理的技术与组织措施”保护患者个人数据,即便尚无直接证据表明病历被窃取。2025年深秋,英国海峡群岛中的根西岛(Guernsey)一家中型牙科诊所的前台员工像往常一样登录工作邮箱,却意外发现收件箱里躺着数十封“自己”发出的邮件草稿——内容全是诱导点击的链接,收件人包括数百名患者、合作药企代表,甚至当地卫生部门官员。原创 2026-01-09 09:40:10 · 477 阅读 · 0 评论 -
ConsentFix浮出水面:当“同意”成为攻击入口,你的邮箱早已不是你的邮箱
这意味着,当 ConsentFix 诱导用户授权给一个看似“官方”的 Azure CLI 应用时,系统不会弹出“此应用请求高危权限,请联系管理员”的警告,用户只需点击一次“同意”,即可授予 User.Read, Mail.Read, Files.Read.All 等数十项权限。在 ConsentFix 中,攻击者伪造的“ClientApp”拥有合法的 Azure AD 注册(可能是盗用或注册的恶意应用),并通过诱导用户粘贴包含 code 的 URL,绕过浏览器同源策略,直接将授权码传给自己的服务器。原创 2026-01-09 09:38:53 · 160 阅读 · 0 评论 -
派对邀请竟是“数字特洛伊木马”?年末高发的e-vite钓鱼攻击揭示社交工程新变种
出于信任,林女士点了进去。某头部电商平台安全部门透露,2025年“双12”期间,其员工收到大量伪装成“供应商答谢晚宴”的钓鱼邮件,部分链接甚至能绕过企业级邮件网关的沙箱检测。2025年10月,荷兰警方捣毁一个位于东欧的钓鱼即服务(PhaaS)平台,该平台提供“Paperless Post模板生成器”,月租仅50美元,客户遍布30余国。“人类对社交信号的响应速度远快于对风险警告的反应,”公共互联网反网络钓鱼工作组技术专家芦笛指出,“当你看到‘你被邀请了’,大脑会自动激活奖赏回路,警惕性自然降低。原创 2026-01-09 09:37:41 · 357 阅读 · 0 评论 -
韩国拟扩大银行卡钓鱼损失赔付范围:一场金融安全与用户责任的再平衡
骗子冒充警察、检察官或银行客服,以“账户涉嫌洗钱”“需配合调查”为由,诱导受害者主动进行转账操作,甚至要求其输入一次性验证码(OTP)。更重要的是,银行因此倒逼自身升级风控:例如汇丰银行引入“收款方名称匹配”功能,若用户输入的收款人姓名与账户历史不符,系统将弹出红色警告。目前,国内多数银行依据《银行卡业务管理办法》第54条,主张“凡使用密码进行的交易均视为本人操作”,从而免除自身责任。例如,用户正常登录网银后,攻击者通过恶意广告或供应链漏洞,在页面中注入虚假弹窗:“您的账户存在风险,请立即转账至安全账户。原创 2026-01-09 09:36:25 · 464 阅读 · 0 评论 -
AI钓鱼套件黑产化!BlackForce、GhostFrame等四大工具正绕过MFA大规模盗号,专家警告:传统防御体系正在失效
据《The Hacker News》最新披露,四款高度模块化、自动化且具备AI能力的钓鱼套件——BlackForce、GhostFrame、InboxPrime AI 与 Spiderman——正以“钓鱼即服务”(Phishing-as-a-Service, PhaaS)的形式在暗网和加密通讯平台(如Telegram、Signal)上广泛流通,单套售价从200欧元到1000美元不等,却能支撑百万级的精准钓鱼攻击。他不知道的是,就在那几秒钟内,他的账户连同绑定的支付信息,已被远在东欧的黑客完整接管。原创 2026-01-08 09:56:25 · 138 阅读 · 0 评论 -
议会邮箱成“数字前线”!英国议员频遭高精度鱼叉钓鱼,国家级黑客正瞄准民主神经中枢
例如,某位担任“科技与创新委员会”主席的议员,收到一封伪装成科技企业CEO的邮件,主题为《关于AI监管白皮书的合作建议》,附件名为“Draft_AI_Regulation_v3.docx”。“这已不是技术对抗,而是情报战与心理战的结合,”公共互联网反网络钓鱼工作组技术专家芦笛在接受本报专访时表示,“攻击者花在‘踩点’上的时间,可能远超编写恶意代码。“我们监测到,国内已有针对地方政府官员的钓鱼邮件,伪装成‘中央巡视组通知’或‘政协提案系统升级’,”芦笛透露,“攻击者同样利用政务公开信息、会议新闻稿进行定制。原创 2026-01-08 09:55:00 · 180 阅读 · 0 评论 -
伪冒银行网站激增!香港金管局紧急预警,专家详解“高仿钓鱼”攻防战
但芦笛认为,在AI高仿时代,这一原则需重新审视。更隐蔽的是,部分钓鱼站采用“反向代理”技术,将用户请求实时转发至真实银行网站,仅在关键步骤(如OTP输入)时截获数据。更令人警惕的是,这些钓鱼网站不仅UI设计逼真,还普遍部署了HTTPS加密、合法SSL证书,甚至能动态加载真实银行的部分公开资源(如Logo、CSS样式),进一步增强迷惑性。香港金管局的警示,不应只被当作一则新闻,而应成为所有金融机构、科技公司乃至普通用户的行动起点——因为下一次钓鱼攻击,可能就藏在你手机屏幕亮起的那条“紧急通知”里。原创 2026-01-08 09:53:17 · 223 阅读 · 0 评论 -
秒级克隆银行页面?“Spiderman”钓鱼套件让金融诈骗进入“快餐时代”
本文将深入拆解Spiderman的技术架构,还原其如何实现“秒级克隆”与“MFA绕过”,并通过对比国内近期出现的类似趋势,探讨金融机构与普通用户该如何应对这场“快餐式”钓鱼风暴。这款工具号称“零代码、全图形化、一键部署”,购买者只需在网页界面上勾选目标银行(如德意志银行、法国巴黎银行、荷兰ING等),选择语言(支持英、法、德、荷、意等12种),再输入一个仿冒域名(如deutsche-bank-login[.]eu),系统便能在不到10秒内生成一个与真实银行登录页几乎无法区分的钓鱼网站。原创 2026-01-08 09:38:29 · 449 阅读 · 0 评论 -
二维码成“数字特洛伊木马”?朝鲜黑客组织Kimsuky借快递通知渗透安卓设备,国内安全防线拉响警报
这已不是简单的信息窃取,而是构建了一个完整的移动间谍平台,”公共互联网反网络钓鱼工作组技术专家芦笛在接受本报专访时表示,“尤其值得注意的是,它利用了安卓的‘动态加载’机制绕过静态检测,这对传统杀毒软件构成严峻挑战。2025年,国家互联网应急中心(CNCERT)曾通报多起“快递诈骗二维码”事件:不法分子在小区快递柜张贴伪造取件码,用户扫描后跳转至钓鱼页面,诱导下载“快递助手”App,实则为窃取银行卡信息的木马。攻击者在页面上强调:“此为官方安全组件,请放心安装”,诱使用户手动开启“允许安装未知应用”选项。原创 2026-01-08 09:37:11 · 220 阅读 · 0 评论 -
学术邮件里的“特洛伊木马”:Operation ForumTroll重返战场,专盯俄罗斯学者的政策研究数据
这一动向不仅暴露了国家级APT(高级持续性威胁)对学术情报的系统性觊觎,也再次敲响警钟:在全球地缘博弈加剧的背景下,高校已不再是“象牙塔”,而是网络攻防的前沿阵地。据SC Media援引《The Hacker News》2025年12月的报告,此次攻击自2025年10月起活跃,采用高度定制化的钓鱼策略,利用学术界对同行评审、会议邀请的高度信任,诱导受害者打开嵌有恶意宏的Office文档或点击伪装成“查重报告”的下载链接。关键在于,.lnk文件本身是合法Windows对象,其“目标”字段可嵌入任意命令。原创 2026-01-08 09:35:47 · 161 阅读 · 0 评论 -
四分之一Z世代员工会点可疑链接?埃森哲报告敲响AI钓鱼警钟,反钓鱼专家芦笛详解攻防技术内核
在“数字原住民”被默认为网络安全高手的时代,一份来自全球顶级咨询公司埃森哲(Accenture)的最新报告却揭开了一个令人不安的现实:四分之一35岁以下的职场人,会在看到可疑链接后依然选择点击——哪怕他们自己也觉得“这可能不对劲”。更令人警惕的是,这些年轻员工中,有15%的人甚至愿意在未核实身份的情况下,通过即时通讯工具向“上级”或“同事”提供公司敏感数据,或批准付款请求。”芦笛指出,“Z世代在多任务、高节奏的数字环境中长大,习惯于秒回消息、一键跳转、信任平台推荐。”芦笛苦笑,“但真正的钓鱼演练呢?原创 2026-01-08 09:34:28 · 814 阅读 · 0 评论 -
高校成钓鱼重灾区!圣地亚哥大学紧急预警,一场针对“知识金矿”的数字围猎正在上演
高等教育机构,这个曾被视为“象牙塔”的知识殿堂,如今正成为网络犯罪分子眼中极具价值的“数字金矿”。例如,一封标题为《【紧急】您的图书馆借阅权限将于24小时内暂停》的邮件,使用了与USD官网一致的蓝色配色、校徽图标,甚至底部附有真实的“公共安全办公室”联系电话。新年伊始,本该是师生们规划新学期、整理科研计划的平静时刻,但一封伪装成“图书馆账户即将停用”的邮件,却让美国加州圣地亚哥大学(University of San Diego, USD)的校园网络安全部门全员进入高度戒备状态。原创 2026-01-08 09:32:42 · 202 阅读 · 0 评论 -
Scripted Sparrow浮出水面:全球BEC钓鱼黑产如何用脚本“精准狩猎”企业高管?
更令人警觉的是,Scripted Sparrow不仅技术娴熟,还深谙心理学与社交工程之道——他们能从LinkedIn、X(原Twitter)、Facebook等公开平台抓取目标高管的行程、职务变动甚至家庭信息,再通过自动化脚本生成“量身定制”的钓鱼邮件,欺骗财务人员执行大额转账。与过去依赖“打字员+话术模板”的BEC团伙不同,Scripted Sparrow的核心竞争力在于“自动化”与“个性化”的结合。防御的关键,不在于堆砌更多防火墙,而在于理解攻击者的“工作流”,并在每一个环节设置摩擦点。原创 2026-01-08 09:31:16 · 323 阅读 · 0 评论 -
金融行业网络钓鱼攻击的范式演进与防御体系的适应性强化
有报道显示,在针对美国信用合作社的钓鱼活动中,攻击者利用Glitch的子域名创建了高度相似的登录界面,因该链接源自“glitch.com”这一可信域,其在电子邮件安全网关和终端防护软件中往往能够绕过基于URL信誉的检测机制,从而成功实施钓鱼攻击。据APWG 2025年第二季度报告,全球钓鱼攻击达113万起,创近两年新高,其中,针对金融机构的钓鱼攻击占比达18.3%,支付行业亦高达12.1%,二者合计超过三成,已成为网络钓鱼攻击的首选目标。这一转型的深度与广度,将直接影响金融机构在数字时代的安全基线。原创 2026-01-07 14:08:32 · 759 阅读 · 0 评论 -
秒级失守!谷歌账户钓鱼进入“自动化收割”时代,你的Gmail还安全吗?
据网络安全公司Jumpfly于2025年12月底发布的预警报告,针对谷歌账户(Google Accounts)的钓鱼攻击正以惊人的速度升级:攻击者不再满足于窃取凭据后手动操作,而是部署高度自动化的“收割脚本”,在用户提交密码的瞬间完成登录、修改恢复邮箱、启用应用专用密码、导出通讯录等全套操作——整个过程快至3到8秒,远超人工干预窗口。这些不是未来概念,而是当下救命稻草。“Passkeys从根本上消灭了钓鱼可能,”芦笛解释,“即使你在一个100%仿真的钓鱼页输入‘密码’,由于没有私钥,攻击者无法完成认证。原创 2026-01-07 09:43:54 · 492 阅读 · 0 评论 -
谷歌亮剑“Darcula”:一场针对安卓钓鱼黑产的法律与技术双重围剿
初看之下,Darcula分发的应用并无明显异常:名称如“Quick PDF Scanner”“Loan Calculator Pro”“eKYC Verifier”等,图标设计专业,用户评论区充斥着看似真实的五星好评,甚至部分应用在Google Play上架数月未被下架。在这场关乎数字信任的持久战中,每一次对可疑权限的拒绝,每一次对未知来源应用的警惕,都是对黑产生态的有力回击。值得注意的是,Darcula也曾通过供应链攻击,入侵小型开发团队的CI/CD管道,在合法应用构建过程中注入恶意代码。原创 2026-01-07 09:42:25 · 312 阅读 · 0 评论 -
国家级黑客与黑产“共用武器库”:M365设备代码钓鱼成云时代通用入侵钥匙
更令人担忧的是,工具链的共享。”公共互联网反网络钓鱼工作组技术专家芦笛解释,“微软服务器看到的是正常API调用,防火墙看到的是HTTPS流量,EDR看到的是合法进程——没有任何异常信号。Proofpoint披露,该团伙在2025年11月的一次行动中,通过设备代码钓鱼获取某半导体公司工程师的邮箱权限,进而窃取未公开的芯片设计文档。“这不是模仿,而是共享。”一位不愿具名的威胁情报分析师告诉本报,“国家级APT组织和勒索软件团伙,正在使用同一套工具、同一种流程,甚至可能从同一个Telegram频道下载教程。原创 2026-01-07 09:41:04 · 417 阅读 · 0 评论 -
披着“可信外衣”的钓鱼陷阱:HubSpot平台如何被黑客变成企业邮箱的“特洛伊木马”?
攻击者无需掌握高深漏洞利用技术,只需注册一个免费或试用版HubSpot账户,就能将恶意链接嵌入看似正规的发票提醒、合同确认或物流通知中,并借助HubSpot域名天然的高信誉度,轻松抵达目标用户的收件箱。换言之,在绝大多数邮件安全系统的“眼睛”里,这封钓鱼邮件就是“合法”的。“整个过程完全在HubSpot平台内完成,无需外部C2服务器介入初期阶段,”芦笛指出,“这意味着邮件内容、链接、甚至表单提交行为,全部发生在hubspot.net的子域下——这对基于域名信誉的传统过滤机制几乎是‘免疫’的。原创 2026-01-07 09:39:42 · 461 阅读 · 0 评论 -
21,000张SIM卡背后的“短信工厂”:印度CBI突袭国家级钓鱼基础设施
2025年12月下旬,印度中央调查局(CBI)代号为“Chakra-V”(意为“第五轮行动”)的雷霆突袭,揭开了一个盘踞在印度南部、运作高度工业化、技术链条完整的“钓鱼短信工厂”黑幕。在SIM卡管理区,执法人员发现大量按运营商分类存放的SIM卡,每张卡都贴有手写标签,如“Airtel-001”“Jio-134”等,并配有对应的IMEI绑定记录。“GSM网关不经过运营商的短信中心(SMSC)内容过滤系统,”芦笛解释道,“它直接模拟手机与基站通信,发送的短信在运营商侧看起来就是普通用户互发,几乎没有内容审查。原创 2026-01-07 09:38:17 · 370 阅读 · 0 评论 -
微信钓鱼“出海”:二维码成跨境诈骗新入口,企业安全防线遭遇IM盲区
对方自称是合作方的人力资源经理,迅速进入面试流程,并要求马克提供一份“背景调查授权书”,同时支付一笔75美元的“可退款预审费”,用于加快流程。更关键的是,一旦用户扫码,交互就从可监控的企业邮件系统,转移到封闭的私人IM平台——那里没有DLP(数据防泄漏)、没有审计日志、也没有安全团队的实时告警。而微信,这个原本被视为“中国专属”的超级App,正成为全球网络犯罪的新温床。如今,他们的新员工入职培训第一课,不再是“如何设置强密码”,而是:“永远不要因为一封邮件,就扫一个二维码加陌生人微信。原创 2026-01-07 09:36:58 · 903 阅读 · 0 评论