ARSTechnica 报道称：约有上万台 Palo Alto Networks 的 GlobalProtect 企业虚拟专用网服务器，受到了 CVE-2021-3064 安全漏洞的影响。然而为了修复这个评级 9.8 / 10 的高危漏洞，Randori 也苦等了 12 个月。这家安全公司指出，在最初发现后的大部分时间里，他们一直在私下努力帮助客户努力应对现实世界的威胁。 （图自：Palo Alto Networks） 按照通用漏洞披露流程，安全专家更希望厂商尽快修复安全漏洞。至于 CVE-2021-3064 这个缓冲区溢出漏洞，它会在解析堆栈上固定长度位置的用户提供的输入时出现问题。 从 Randori 开发的概念验证方法可知，该漏洞或造成相当大的危害。研究人员在上周三指出： 我公司团队能够访问受影响目标 Shell、敏感配置数据、并提取相关凭证。一旦攻击者控制了防火墙，就可以在企业内网肆无忌惮地扩散。 由于过去几年，黑客积极利用了来自 Citrix、微软和 Fortinet 等企业的大量防火墙 / 虚拟专用网漏洞，政府已于今年早些时候发出过一份安全警示。 同样遭殃的还有来自 Pulse Secure 和 Sonic Wall 等厂商的产品，以及最新披露的 Palo Alto Networks 的 GlobalProtect 解决方案。 据悉，GlobalProtect 提供了一个管理门户，可锁定网络端点、保护可用网关信息、连接所需的可用证书、控制应用软件的行为、以及分发到 macOS 和 Windows 终端的应用。 庆幸的是，CVE-2021-3064 仅影响 PAN-OS 8.1.17 之前版本的 GlobalProtect 虚拟专用网软件。 尴尬的是，尽管已经过去了一年，Shodan 数据还是显示有上万台互联网服务器正在运行（早期预估为 70000）。 独立研究员 Kevin Beaumont 表示，其开展的 Shodan 检索表明，所有 GlobalProtect 实例中、约有一半是易受攻击的。 最后，安全专家建议任何使用 Palo Alto Networks 公司 GlobalProtect 平台的组织，都应仔细检查并尽快修补任何易受攻击的服务器。   （消息及封面来源：cnBeta）

TrickBot团伙运营商现在正在滥用Windows 10应用程序安装程序，将其BazarLoader恶意软件部署到目标系统上，这是一场针对性很强的垃圾邮件攻击。 BazarLoader（又名BazarBackdoor、BazaLoader、BEERBOT、KEGTAP和Team9Backdoor）是一种隐秘的后门木马，通常用于破坏高价值的目标网络，并将对受损设备的访问权出售给其他网络罪犯。 它还被用来提供额外的有效载荷，如cobalt strike信标，帮助威胁者访问受害者网络，并最终部署危险的恶意软件，包括但不限于Ryuk勒索软件。 SophosLabs首席研究员安德鲁·布兰特（Andrew Brandt）在最近的一次活动中发现，攻击者的垃圾邮件使用了威胁性语言，还冒充一名公司经理，用来引发受害者紧迫感，攻击者要求提供有关客户投诉电子邮件收件人的更多信息。 据称，该投诉可以从微软自己的云存储（位于*.web.core.windows.net域名上）上的网站以PDF格式进行审查。 为了增加诈骗效果，这些垃圾邮件攻击的接收端被双重诱惑，被诱使使用adobeview子域安装BazarLoader后门，这进一步增加了该计划的可信度。 布兰特说：“攻击者整天使用两个不同的网址来托管这个伪造的‘PDF下载’页面。” “这两个网页都托管在Microsoft的云存储中，这会给它带来一种（并不切实的）真实感，.appinstaller和.appbundle文件都托管在每个网页存储的根目录中。” 但是，钓鱼网站上的“预览PDF”按钮不会指向PDF文档，而是打开一个带有ms appinstaller:前缀的URL。 单击按钮时，浏览器将首先显示一条警告，询问受害者是否允许该站点打开应用程序安装程序。但是，大多数人在地址栏中看到adobeview.*.web.core.windows.net域时可能会忽略它。 单击警告对话框中的“打开”将启动Microsoft的应用程序安装程序（自2016年8月发布Windows 10 1607版以来的内置应用程序），以假冒Adobe PDF组件的形式在受害者的设备上部署恶意软件，该软件作为AppX应用包发布。 一旦启动，应用安装程序将首先开始下载攻击者的恶意.appinstaller文件和一个附加的.appxbundle文件，其中包含名为Security.exe的最终有效负载，它嵌套在UpdateFix子文件夹中。 有效负载下载并执行一个额外的DLL文件，该文件启动并生成一个子进程，该子进程接着生成其他子进程，最终将恶意代码注入无头的基于Chromium的Edge浏览器进程，从而结束字符串。 在受感染的设备上部署后，BazarLoader将开始收集系统信息（例如，硬盘、处理器、主板、RAM、本地网络上具有面向公众IP地址的活动主机）。 该信息被发送到C&C服务器，伪装成通过HTTPS GET或POST头信息传递的cookie。 布兰特说：“把恶意软件放入应用程序安装包中在攻击中并不常见。不幸的是，现在这个方法已经被证明有用，它可能会引起更多的关注。” “安全公司和软件供应商需要有适当的保护机制来检测和阻止它，并防止攻击者滥用数字证书。” 在收到Sophos的通知后，微软于11月4日关闭了攻击者用来存放这些攻击中的恶意文件的页面。   消息来源：BleepingComputer，译者：Zoeppo； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接

多伦多交通委员会（TTC）近日承认，由于上个月其系统受到勒索软件的攻击，数万名员工的个人信息可能已经被泄露。TTC 负责运营多伦多公交车、地铁、有轨电车和辅助交通系统等等，在近日发布的声明中表示，泄漏的数据包括 25000 名离职和现职员工的姓名、地址和身份证号码等。该机构说，它正在继续调查是否有“少数”客户和供应商也受到了影响。 图片来自于 WikiMedia 该机构补充说，虽然“没有证据”表明任何信息被滥用，但它正在通知那些受影响的个人，并将向他们提供信用监测和身份盗窃保护。TCC 还建议员工给他们的银行打电话，提醒他们注意安全漏洞。 TTC 首席执行官 Rick Leary 说，10 月 29 日的勒索软件攻击导致了车辆跟踪和“next bus”系统的瘫痪，以及 Wheel-Trans 在线预订系统的宕机。他补充说，这次事件导致 TTC 的一些服务器被加密和锁定。虽然大多数面向客户的系统已经恢复，但 TTC 的内部电子邮件系统仍然处于离线状态。 Leary 表示：“我想代表整个组织，向可能受到影响的所有人表达我对发生这种情况的深深遗憾。我不会忘记，像我们这样的组织被赋予了大量的个人信息，我们必须尽最大努力保护这些信息。在未来几周，我们将继续重建其余受影响的服务器和内部服务，如重新建立外部电子邮件功能。但事实上，根据其他组织的经验，这可能需要一些时间”。   （消息及封面来源：cnBeta）

随着公开漏洞利用代码和一款概念验证工具的发布，美国网络与基础设施安全局（CISA）也及时地向供应商发去了通报，以敦促其尽快修复影响数十亿设备（手机 / PC / 玩具）的拒绝服务（DoS）和代码执行攻击漏洞。ThreatPost 指出，用于测试新曝光的蓝牙 BrakTooth 漏洞的概念验证工具的保密期已结束，相关测试套件和完整漏洞利用代码现已向公众开放访问。 BrakTooth 漏洞检测与利用工具概念验证代码已上线 GitHub（来自：CISA） 据悉，BrakTooth 是一系列影响 1400 多款蓝牙商用产品的缺陷，数十亿受影响的设备都依赖于经典蓝牙协议来通讯。 正如原文指出的那样，攻击者只需找到现成的售价仅 14.80 美元的 ESP32 板子（AliExpress 上的同类产品甚至低到 4 美元）。 然后利用自定义链接管理协议（LMP）固件，即可在计算机上运行 BrakTooth 漏洞的概念验证攻击代码。 受影响的蓝牙 SoC 厂商与型号列表 早在 9 月发表的一篇论文中，新加坡大学研究人员就已经披露了最初的 16 个漏洞（现已多达 22 个），并将其统称为“BrakTooth”。 他们在 1400 多款嵌入式芯片组件中所使用的闭源商用 BT 堆栈中发现了漏洞，并详细说明了它们可能导致的一系列攻击类型。除了常见的拒绝服务（DoS），其中一个漏洞还可能导致任意代码执行（ACE）。 自论文发表以来，已有不少厂商发布了修补更新。与此同时，研究人员也曝光了更多易受攻击的设备，甚至苹果 iPhone 智能机 / MacBook 笔记本电脑也未能幸免。 此外 BrakTooth 漏洞还影响到了微软 Surface、戴尔台式 / 笔记本电脑、索尼 / OPPO 智能机、以及沃尔玛 / 松下等品牌的音频设备。 受影响设备的漏洞补丁状态和 SDK / 固件版本 截止 9 月，该团队已分析 11 家供应商的 13 款 BT 硬件，并列出了 20 份通用漏洞披露（CVE）公告 —— 其中四个来自英特尔和高通。 不久后，高通发布了 V6（8.6）和 V15（8.15）的 CVE，但研究人员指出或许仍有许多其它产品未被他们统计在内，比如片上系统（SoC）、BT 模块和其它 BT 终端产品。 周一的时候，芯片组供应商 Airoha、联发科和三星陆续披露了旗下某些设备易受攻击的报告。 英特尔、高通和三星的部分设备仍在等待补丁，但来自高通和德州仪器（TI）的某些产品已被列入不打算修复的列表，还有不少供应商正在调查此问题。   （消息及封面来源：cnBeta）

欧洲刑警组织(Europol)今日宣布逮捕了7名嫌疑人，他们以一个大型勒索软件卡特尔组织“会员(affiliates)”（合作伙伴）的身份工作，自2019年初以来帮助实施了7000多次攻击。这些嫌疑人在REvil (Sodinokibi)和GandCrab勒索软件即服务(RaaS)的部分业务中工作。 据信，REvil和GandCrab都是由同一批操作的，他们创建了赎金软件代码以提供给其他网络犯罪分子出租。 这些租赁团体将策划对公司的入侵、部署勒索软件、要求支付赎金，然后跟REvil/GandCrab的编码者分享利润。 Europol称，自2019年以来，这七名嫌疑人经手过的攻击总共要求的赎金超过了2亿欧元。 自今年2月以来，Europol表示，它一直在跟执法机构和Bitdefender、KPN和McAfee等安全公司合作以逮捕其中一些会员。根据Europol的说法，逮捕行动发生在： 2月、4月、10月–三名REvil和GandCrab会员在韩国被捕； 10月–一名REvil会员在波兰被捕（因Kaseya REvil攻击而被指控）； 11月4日–两名REvil成员在罗马尼亚康斯坦察被捕； 11月4日–一名GandCrab成员在科威特被捕。 这些逮捕行动是在以美国为首的西方国家今年夏天早些时候承诺打击勒索软件团伙之后进行的。 在决定打击勒索软件运营商之前，勒索软件攻击在今年达到了顶峰，一些团体发起的攻击使行业部门瘫痪了好几天–如今年5月对Colonial Pipeline的攻击，该攻击迫使美国东海岸45%的燃料供应停止。 参与由Europol领导的打击GandCrab/REvil团伙的Bitdefender也有在9月16日为过去的REvil受害者发布了一个通用解密器。这家罗马尼亚公司还发布了针对GandCrab版本的免费解密器，所有这些都可以从NoMoreRansom门户网站下载。 2020年8月，8名GangCrab会员在白俄罗斯被捕，但该次行动并不是Europol联合调查的一部分。 GandCrab和REvil行动的简短历史 GandCrab RaaS于2018年1月首次发布广告，它最初是一个普通的团体，他们将其代码出租给网络犯罪集团，后者使用带有恶意文件附件的垃圾邮件来感染用户。 该组织在2019年初转移了目标，当时他们开始跟一小群会员合作，在针对企业组织的攻击中以管理服务提供商为目标，希望从他们可以从小型家庭用户那里提取的小额赎金要求转移到他们可以从其网络瘫痪的公司那里索取更大的赎金。 由于这种新型攻击方法开始产生更大的利润，该组织在2019年5月关闭了他们的GandCrab行动，并在一个月后即2020年6月，发布了他们的赎金软件的重塑和改进版本。 被称为REvil或Sodinokibi，这个新RaaS门户网站只跟愿意攻击大公司的会员合作。多年来，REvil RaaS及其会员跟一些相当大的攻击公司有关，如苹果、宏基、阿根廷电信等等。 根据2021年2月发表的一份IBM报告，据信REvil行动仅在2020年就获得了约1.23亿美元的收入。 然而，今年5月和7月分别针对JBS Foods和Kaseya服务器的两次攻击越过了美国政府愿意接受的底线。JBS Foods的攻击造成了美国各地肉类供应的大规模中断，而对Kaseya服务器的攻击则在7月4日假期造成了全球数以千计的IT网络瘫痪。 该组织在一周后关闭，没有任何形式的解释，该组织的领导人–一个名为未知的人似乎从地下论坛消失了。 一些REvil编码员试图在9月恢复该行动，但他们因为一个未知的第三方劫持了其Tor服务器基础设施而在一个月后关闭。 路透社和《华盛顿邮报》的报道后来显示，到7月，该组织的服务器已经被一个外国执法机构入侵并反追踪。 而当该组织在9月卷土重来时，美国网络司令部劫持了它的服务器，并且前者并不知道执法部门的行动。不过这次劫持让REvil团伙受到惊吓，这似乎成为了最后的退休，而也可能是Europol和其他执法团体正在对他们迄今为止设法确定的GandCrab/REvil会员采取行动的原因。 （消息及封面来源：cnBeta）

美司法部(DOJ)于当地时间周一宣布，执法官员没收了约600万美元的赎金并就7月对一家美国公司的破坏性勒索软件攻击起诉了一名来自乌克兰的嫌疑人。据悉，这些是拜登政府在追捕网络犯罪分子方面的一个突破。 Yaroslav Vasinskyi是一名乌克兰国民，于上月在波兰被捕，他被指控部署了名为REvil的勒索软件，该软件曾被用于使美国公司损失数百万美元的黑客攻击。根据周一公布的起诉书，Vasinskyi在7月4日周末对总部位于佛罗里达州的软件公司Kaseya进行了勒索软件攻击，该攻击感染了全球多达1500家企业。 Vasinskyi和另一名被指控的REvil特工–俄罗斯国民Yevgeniy Polyanin被指控共谋欺诈和共谋洗钱以及其他指控。美国官员表示，作为调查的一部分，当局查获了至少600万美元的资金，据称都跟Polyanin收到的赎金有关。 这次执法行动是拜登政府多管齐下打击勒索软件的最有影响的行动之一，在今年一系列黑客攻击阻碍了美国关键基础设施公司之后，勒索软件的发展速度加快。虽然一些勒索软件团体继续入侵美国公司并要求付款，但其他团体在最近几个月已经安静下来。 DOJ部长Merrick Garland在一次新闻发布会上说，美国及其盟友将尽一切力量。来追踪勒索软件的操作者并追回他们从美国人民那里偷来的钱。 22岁的Vasinskyi被关押在波兰，等待美国的引渡程序，而28岁的Polyanin仍然在逃。 另外，美财政部周一还对Vasinskyi和Polyanin及据称为勒索软件操作者转移资金的加密货币交易所实施制裁。 国务院同时宣布悬赏最高1000万美元以寻找识别或找到REvil勒索软件团伙领导人的信息。该部门还提供了最高500万美元的信息，用于逮捕或定罪任何阴谋或试图参与REvil勒索软件攻击的人。 美国官员已经跟俄罗斯政府开展外交活动、制裁了一家加密货币交易所并劝说公司提高他们的网络防御能力。专家表示，给勒索软件运营商戴上手铐是美国遏制攻击战略的一个关键部分。欧洲刑警组织则于周一宣布，罗马尼亚当局上周又逮捕了两名被指控的REvil操作人员。韩国当局上月向美国引渡了一名俄罗斯男子，他被指控参与了另一个不同的犯罪团伙，该犯罪团伙攻击并感染了全球数百万台电脑。 美国总统乔·拜登在周一晚些时候的一份声明中说道：“我们正在发挥联邦政府的全部力量以破坏恶意的网络活动和行为者、加强国内的复原力、解决滥用虚拟货币清洗赎金的问题并利用国际合作破坏勒索软件的生态系统和解决勒索软件犯罪分子的安全港。” 拜登政府将应对勒索软件集团作为优先事项 拜登曾在6月要求俄罗斯总统普京对挟持美国公司的犯罪黑客采取行动。但只要黑客不攻击俄罗斯的目标，俄罗斯政府历来不愿意在本国领土上追捕网络犯罪分子。 自拜登-普京峰会以来，“我们还没有看到情况发生实质性的变化，只有时间才能说明俄罗斯在这方面可能会做什么。”美国副司法部长Lisa Monaco上周这样告诉媒体。 周一，当被问及俄罗斯政府是否知道或纵容REvil活动时，Garland以正在进行的调查为由拒绝发表评论。 在拥挤的网络骗子中，REvil因一系列无耻的攻击而脱颖而出。据报道，今年早些时候，该组织在入侵苹果的一家供应商后向其索要5000万美元。 FBI还指责REvil在5月对JBS美国公司进行了勒索软件攻击，该公司占了美国牛肉产量的约五分之一。这一事件迫使JBS暂时关闭了在澳大利亚、加拿大和美国的工厂的生产。JBS向黑客支付了1100万美元以解锁其系统。 Garland周一表示，REvil已经被部署在全球约17.5万台电脑上，至少获取了2亿美元的赎金。 Garland还指出，据称Polyanin进行了约3000次勒索软件攻击，包括一些对德克萨斯州的执法机构和市政当局的攻击。 REvil在这几个月里的表现很不稳定。该组织用来提取赎金和羞辱受害者的网站在卡西亚黑客事件后下线，后来只在9月重新出现过。 为了加大压力，美国务院上周宣布悬赏1000万美元征集所谓DarkSide勒索软件背后黑客的关键信息，该软件曾在5月迫使美国主要燃料供应商Colonial Pipeline关闭数日。 据了解，美国政府机构在追捕犯罪黑客的过程中严重依赖私人专家。比如网络安全公司EMSIsoft通过发现黑客代码中的一个缺陷，为一种勒索软件的受害者节省了数百万美元的赎金支付。 前荷兰网络犯罪调查员、现任职于网络安全公司McAfee Enterprise的John Fokker告诉媒体，他的团队已经帮助执法部门确定了参与REvil和另一种勒索软件Gandcrab的多名嫌疑人。 然而没有一次执法行动会对利润丰厚的跨国勒索软件经济造成致命打击。 根据追踪加密货币的公司Chainalysis的数据，2020年勒索软件攻击的受害者支付了约3.5亿美元的赎金。但这一数字可能只是当年数字敲诈的一小部分。而不支付赎金的受害者需要花费数百万美元重建他们的计算机基础设施。 FBI局长克里斯托弗·雷在9月告诉美国立法者，该局正在调查100多种不同类型的勒索软件。   （消息及封面来源：cnBeta）

  一个未知初始访问代理被揭露为三个不同的攻击者提供入口点，攻击活动包括利益驱动的勒索软件攻击和网络钓鱼活动。 黑莓的研究和情报团队将这个实体命名为“Zebra2104”，该组织负责为MountLocker和Phobos等勒索软件集团，以及名为StrongPity(又名Promethium)的高级持续威胁(APT)跟踪提供技术手段。 据我们所知，网络威胁领域越来越多地被一类被称为初始访问代理(IABs)的玩家所控制，他们为其他网络犯罪集团提供服务，包括勒索软件附属公司，通过持续进入受害者网络的后门，在不同地区和行业的众多潜在组织中立足，成功地建立了远程访问的定价模型。 黑莓研究人员在上周发表的一份技术报告中指出:“通常IAB先进入受害者的网络，然后在暗网的地下论坛上把这一访问权限卖给出价最高的买家。”“后来，中标者通常会在受害者的设备里部署勒索软件或其他经济利益相关的恶意软件，这取决于他们活动的目标。” 2021年8月，一份超过1000访问列表的分析文件在暗网地下上论坛上售卖，该文件发现,从2020年7月到2021年6月网络访问的平均费用为5400美元的,其中最有价值的信息可以提供包括企业系统域管理员权限。 这家加拿大网络安全公司的调查始于一个名为“trashborting[.]”的域名，发现时它正在传送Cobalt Strike 信标，用于把更广泛的基础设施与一些恶意垃圾邮件活动联系起来，这会引起勒索软件有效载荷的传输。有一些勒索软件于2020年9月攻击澳大利亚房地产公司和州政府部门。 最重要的是，“supercombination[.com]”，trashborting[.]另一个姐妹域名，被发现与恶意软件MountLocker和病毒Phobos有关，即使域名解析为IP地址“91.92.109[.]174”，在去年4月至11月，它也被用来托管第三个域名“mentiononecommon[.]com”并在2020年6月与StrongPity相关的攻击中作为C2服务器使用。 IAB的反复出现和广泛的攻击目标让研究人员觉得，运营商“要么有大量的人力，要么在互联网上设置了大量“陷阱”，使MountLocker、Phobos和StrongPity能够访问目标网络。 研究人员说:“这项研究中看到的恶意攻击技术和工具联结关系表明，网络犯罪集团在某些情况下的运作方式与跨国组织没有什么不同，这在某种程度上反映了一个合法商业世界。”他们建立伙伴关系和联盟来帮助推进他们的目标。如果有什么不同的话，可以肯定的是，这些威胁组织的‘商业伙伴关系’将在未来变得更加普遍。”   消息来源：TheHackerNews，译者：Zoeppo； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接

美国政府把矛头指向勒索软件Darkside，悬赏高达1000万美元，以获取能够识别或逮捕行动成员的信息。 美国国务院4日宣布，他们现在将悬赏千万美元，用于奖励任何能够提供黑客组织“DarkSide”领导者信息的线人。 此外，警方还悬赏500万美元，用于获取信息，逮捕任何企图参与黑客攻击的人。 国务院宣布：“此外，国务院还提供高达500万美元的悬赏，用于寻找参与“DarkSide”勒索软件攻击的犯罪个人信息。” 可以通过以下方式向FBI提交线索：https://tips.fbi.gov或者通过WhatsApps、Telegram和Signal。 正如公告中所说的“DarkSide变体勒索软件”，这一悬赏也将适用于DarkSide的马甲组织，比如勒索软件团伙BlackMatter。 当勒索软件运营商在攻击高度敏感的组织并受到执法的压力时，他们通常会改名换姓。 在攻击殖民地输油管道并受到国际执法机构的全面监督后，DarkSide更名为BlackMatter。 3号，BleepingComputer报道称，BlackMatter在受到“来自当局的压力”和组织成员失踪后，也关闭了其运营。[详细可点击] 今天国务院针对DarkSide的悬赏案清楚地表明，换一个不同的勒索软件名称并不会阻止执法部门追查他们。 该奖励是国务院跨国有组织犯罪奖励计划（TOCRP）的一部分。 “该计划赋予国务卿法定权力，可支配高达2500万美元的奖励，用于帮助执法，包括在任何国家逮捕和/或定罪任何参与或共谋参与跨国有组织犯罪的个人；扰乱跨国有组织犯罪集团的内部金融机制；以及查明或确定跨国有组织犯罪集团中担任关键领导职务的个人的身份”，该计划的描述如是说。 美国政府还悬赏1000万美元，目标是那些获取国家资助的攻击美国关键基础设施的黑客信息。   消息来源：BleepingComputer，译者：Zoeppo； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接

一个新的多级网络钓鱼攻击伪造了亚马逊的订单通知页面，上面有一个虚假的客户服务语音号码，攻击者利用该号码，要求受害者的信用卡详细信息以更正错误的“订单” 周四，Avanan的最新研究强调了这种攻击，称网络钓鱼攻击通过结合使用电子邮件和语音诱饵，并利用亚马逊等流行品牌来欺骗潜在受害者，这种攻击正变得越来越复杂。 Avanan（现被Check Point收购）的首席执行官Gil Friedrich说，从10月份开始，Avanan观察到了一次新的攻击，攻击者在其中伪造了一个典型的亚马逊订单通知页面。 攻击是这样进行的：受害者收到一封电子邮件，显示他们有总额超过300美元的亚马逊订单需要支付。受害者知道到他们并没有下订单，点击电子邮件中的一个链接查证，这个链接只会跳转到亚马逊网站，但网络钓鱼邮件中有一个客户服务号码，它有南卡罗来纳州的区号，当受害者试图打电话时，该号码并不会应答。 几小时后，攻击者从印度打来电话，假冒的客户服务代表告诉受害者，他们需要提供信用卡和CVV号码才能取消费用单。 Friedrich解释说：“这不仅为黑客带来了金钱上的收益，还为攻击者提供了一种获取电话号码的方式，使他们能够在未来几周内通过语音邮件或短信进行进一步的攻击。”。 在Armorblox报道的另一个品牌仿冒骗局中，一个凭证钓鱼攻击模仿了Proofpoint，并试图窃取潜在受害者的Microsoft和Google电子邮件凭证。这封电子邮件声称包含一个由Proofpoint作为链接发送的安全文件，一旦受害者点击，它就会将他们带到一个splash页面，该页面伪造了Proofpoint的品牌，并有专门针对Microsoft和Google的欺骗性登录页面。 Armorblox公司的研究人员说，这场骗局的全部目的是为了抹黑一个受信赖的安全品牌，如Proofpoint，和知名品牌，如微软和谷歌。 虽然两个攻击略有不同，但这表明攻击者变得更聪明，他们更知道如何掠夺人们对知名品牌的信任。 零风险 KnowBe4的数据驱动防御推广者Roger Grimes指出，在亚马逊的案例中，这种多级网络钓鱼攻击的好处在于，当由潜在受害者打电话时，攻击者成功的可能性要大得多。他补充说，这封电子邮件几乎不需要任何设置和发送成本——还是零风险的。他说，所有网络钓鱼电子邮件和攻击也是如此。 Grimes说：“但这里的区别在于，当有人不厌其烦地给网络钓鱼者打电话时，网络钓鱼者知道他们很有可能上钩了。”“受害者已经在心理上接受了这个骗局，哪怕他们曾经有过任何怀疑的话，但因为这个假冒品牌组织现在正在跨多种媒介工作，受害者会进一步确信这个骗局是真实的。受害者可能不认为骗子具备获取真实电话号码和现场接听电话的能力，而事实上在网络钓鱼诈骗中这种操作经常会发生。” 这种骗局的另一个流行版本是一封假装来自受害者当地电力公司的电子邮件。这封电子邮件声称受害者向电力公司的付款被拒绝，他们的电力很快就会被切断。受害人被指示到当地商店购买付款凭单。 Grimes说：“你可能会问自己，‘谁会相信他们的电力公司要求他们用现金券付款？’。“根据我的工作经验，大约10%的受害者会上当。”   消息来源：DarkReading，译者：Zoeppo； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接

英国工党已经证实，第三方公司的网络攻击导致了党员数据的泄露。在发给所有党员并发布在网站上的一封电子邮件中，工党说它在10月29日被告知一个不知名的第三方数据处理公司发生了”网络安全事件”。攻击细节仍然不明，但工党表示，该事件导致”大量的党内数据在其系统中无法访问”。 一位回应该事件的人士表示，该事件是对工党第三方供应商的勒索软件攻击，但工党中央党部尚未证实这一点。 漏洞的规模也不清楚，目前还不知道哪些数据被泄露了。一些掌握信息的工党表示，受影响的数据”包括其会员、注册和附属支持者以及其他提供其信息的个人向该党提供的信息”。 然而，似乎一些前成员和非成员也受到了该事件的影响。一位Twitter用户称，尽管他们已经在2009年离开了该党，但还是收到了数据泄露通知，而其他人则表示，尽管他们从未成为党员，但也收到了这封电子邮件。有些人说他们受到了数据泄露的影响，尽管他们不是工党党员，但作为工党下属工会的成员同样隐私受损。 工党有大约43万名成员。该党的声明说，其调查正在进行中，它还通知了英国国家犯罪署（NCA）、国家网络安全中心，并通知了信息专员办公室（ICO）。 NCA的一位发言人说。”NCA正在领导对影响工党的网络事件的刑事调查。我们正在与合作伙伴密切合作，以减轻任何潜在的风险，并评估这一事件的性质。”ICO，也就是最近敦促英国各政党改善数据保护的机构也证实它正在积极对该事件进行调查。 工党表示，它也在与未透露姓名的第三方供应商密切合作，”紧急调查”该事件的全部性质、情况和影响。中央党部强调，该党派自身的数据系统在这次攻击中没有受到影响。 这一事件并不是工党第一次受到勒索软件的影响。去年，该党提醒其成员，Blackbaud公司存储的数据在一次勒索软件攻击中被泄露。当时，该党表示，它认为与几年来的捐赠者信息有关的信息已被泄露。   （消息及封面来源：cnBeta）