HackerNews 编译，转载请注明出处： 罗马尼亚与英国执法机构在欧洲刑警组织（Europol）和欧盟司法合作组织（Eurojust）支持下，成功捣毁一个通过ATM欺诈获利约58万欧元（约合68.1万美元）的犯罪网络。 欧洲刑警组织7月24日声明显示，两国调查人员首先收集了该犯罪团伙及其活动的证据，相关数据经欧洲刑警组织分析后，通过联合调查组（JIT）在行动会议中共享。在掌握充分证据后，执法人员于2024年12月在英国、2025年7月23日在罗马尼亚展开两次协同突袭，共搜查18处住所，逮捕两名嫌犯，并查获房产、豪华汽车、电子设备及现金。 此次行动参与机构包括罗马尼亚国家警察及检察署、英国皇家检察署及东区特别行动组。欧洲刑警组织派遣分析师赴罗马尼亚提供现场支持，欧盟司法合作组织则协助组建联合调查组、提供跨境司法协作，并协调罗马尼亚的行动部署。 欺诈手法解析 调查发现，犯罪团伙采用“交易撤销欺诈”（TRF）技术窃取ATM现金： 操作流程：拆除ATM屏幕→插入银行卡发起取款→现金即将吐出前取消交易→手动截留现金； 其他犯罪：涉及侧录设备盗刷、伪造支付卡与交通卡，以及通过“撞库攻击”软件识别卡号实施未授权交易获利。       消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 印度执法部门在打击一起跨国网络诈骗案中取得突破。据英国国家犯罪调查局（NCA）透露，印度中央调查局（CBI）经过长达18个月的联合行动，于上周突击搜查了位于北方邦诺伊达市的一个非法呼叫中心，该中心被犯罪团伙用于针对英美澳受害者的技术支持诈骗。 此次代号“脉轮-V行动”（Operation Chakra-V）的跨国行动由CBI联合NCA、美国联邦调查局（FBI）及微软公司共同展开。该犯罪团伙通过在受害者电脑上弹出恐吓软件弹窗，谎称其设备遭黑客入侵，随后冒充微软技术支持人员诱骗受害者支付虚假维修费用。仅英国受害者就被骗取至少39万英镑。 NCA通过其驻美国和印度的联络办公室协调行动，已确认超过100名英国受害者身份。调查始于2024年初，当时NCA驻华盛顿特区的国际联络官从微软公司获取线索，并与伦敦市警察局的反欺诈报告进行交叉比对。诈骗分子通过伪造电话号码、利用多国服务器中转网络电话等手段隐匿身份，增加了侦查难度。 在收集受害者证据并锁定嫌疑人后，NCA今年早些时候派员赴印度向CBI通报案情。印度执法人员突袭行动中逮捕两名嫌疑人，其中包括该呼叫中心据称的主谋。据当地报道称该中心名为“FirstIdea”。 英国国家经济犯罪中心（NECC）副主任尼克·夏普强调：“此案证明，汇集公共与私营部门的专业力量，携手国际伙伴共同打击全球诈骗分子能够取得显著成效。这充分展现了英美去年达成的专项行动机制在打击呼叫中心诈骗方面的重大价值。”       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全公司CTM360发布的最新报告显示，网络犯罪分子正在伪造CNN、BBC和CNBC等主流新闻网站，诱骗人们参与欺诈性加密货币投资计划。 这家总部位于巴林的网络安全公司研究人员表示，已识别出超过1.7万个此类伪造网站。这些网站发布虚假新闻报道，冒用国家领导人和央行行长等知名公众人物的名义，将其与“虚构的投资项目相关联，以此建立信任并引诱受害者参与”。 CTM360指出，该骗局覆盖50多个国家。诈骗者通过使用当地语言、地区名人和知名金融机构进行伪装，使网站更符合本地受众的认知以骗取信任。大部分受害者位于中东地区，但也发现了部分欧洲和美国受害者。 诈骗通常始于谷歌和Meta等平台投放的广告，这些广告将用户重定向至虚假新闻文章。点击文章后，用户会被导向名为Eclipse Earn、Solara或Vynex等欺诈性投资平台。研究人员称，这些平台承诺通过加密货币自动交易获取高额回报。 CTM360表示，这些平台经专业设计伪装成合法机构，配有虚假的交易面板、篡改的盈利数据和捏造的用户评价。 诈骗平台要求受害者注册并提交个人信息及身份证、护照等证件，随后诱导其存入约240美元的初始资金。然而这些平台并未进行真实交易，仅通过虚假的利润增长数据诱骗受害者持续注资。当用户试图提取所谓收益时，会遭遇一系列阻碍：包括被要求支付额外费用、满足新的最低余额要求，或经历漫长的验证流程。 虽然犯罪分子窃取的具体金额尚不明确，但研究人员指出，受害者的个人及财务数据通常会被转售至暗网，或用于未来的钓鱼攻击和欺诈活动。 冒用知名品牌是网络犯罪分子的惯用伎俩。今年7月上旬，研究人员曾曝光一个庞大的欺诈性零售网站网络，该网络通过仿冒苹果、PayPal、Nordstrom、爱马仕和迈克高仕等全球知名品牌，窃取在线购物者的支付数据。这项持续数月的活动涉及数千个钓鱼网站，它们复制正版网站的设计和产品列表，诱使用户输入信用卡信息。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国国务院于7月8日（周二）警告称，俄罗斯威胁行为体涉嫌利用人工智能（AI）深度伪造技术冒充美国国务卿马可·鲁比奥（Marco Rubio），并利用生成的虚假内容联系了至少五名外长及美国官员。 据《华盛顿邮报》周二率先报道，鲁比奥国务卿是最新一位卷入AI深度伪造冒充骗局的高级政府官员。报道称，一名未知恶意行为者于6月中旬，使用多个AI生成的鲁比奥深度伪造内容联系了至少三名外长、一名美国州长及一名国会议员。 美国国务院在一份标注日期为7月3日的电报中指出：“该行为体对国务院的命名规则和内部文件有深入了解。”这些官员的姓名未被披露，但国务院发给所有外交机构的官方电报提到，冒充者使用了加密通讯应用Signal联系部分官员。该应用在今年3月曾引发争议，因特朗普内阁成员利用其讨论打击也门胡塞武装的计划，并不慎将一名知名记者拉入私人聊天群组。 此次事件发生在美国联邦调查局（FBI）5月发布警告之后。FBI当时提醒称，网络犯罪分子正利用AI生成的语音和短信冒充美国高级官员（即“语音钓鱼”和“短信钓鱼”），针对美国现任及前任政府官员进行攻击。报道称，其中两名官员收到了伪造的鲁比奥语音邮件，另一人则收到冒充者发来的短信，直接邀请其在Signal上交流。 电报中写道：“该行为体可能旨在利用AI生成的文本和语音信息操纵目标对象，以获取信息或账户权限。”据称，欺诈性文本和语音信息还模仿了鲁比奥的声音和写作风格。 安全公司SecurityScorecard的首席信息安全官史蒂夫·科布（Steve Cobb）表示，此次最新的AI深度伪造骗局再次提醒人们该技术已变得多么先进。“这并非威胁行为体首次冒充政府官员，也绝不会是最后一次。此类活动通常采用多管齐下的方式，从看似合法的电子邮件账户发送钓鱼攻击开始，逐步升级到利用AI生成深度伪造语音邮件。”科布解释道。 FBI还警告称，若恶意行为者获取了美国官员的个人或政府账户权限，他们可利用先前通信中找到的信息，进一步针对其他官员、受害者联系人及合作伙伴发动定向攻击。除针对鲁比奥的深度伪造外，其办公室报告称，其他国务院人员也遭遇了电子邮件冒充。 未构成直接威胁 国务院指出，这些AI伪造内容并未对机构构成直接网络威胁，但警告称“若目标对象被攻破，与第三方共享的任何信息都可能暴露”。电报还提及了另一起深度伪造攻击：据路透社报道，4月一名疑似与俄罗斯有关的黑客发动了钓鱼活动，目标包括智库、东欧活动人士、持不同政见者以及国务院前官员。 科布表示：“这些行动被怀疑与俄罗斯行为体有关并不完全意外，因为东欧地区仍是恶意网络活动的中心。”电报称，该可疑黑客使用了伪造的“@state.gov”邮箱地址，并在钓鱼邮件中盗用国务院外交技术局的标识和品牌，“该行为体对部门的命名规则和内部文件展现出深入了解”。国务院表示将“进行彻底调查，并持续实施防护措施以防止未来发生类似事件”。 具有讽刺意味的是，这并非鲁比奥首次成为网络犯罪分子利用AI深度伪造的目标。此前今年3月，一段视频在网上流传，显示鲁比奥声称计划切断乌克兰的“星链”服务。该视频后被乌克兰官员证实为伪造。今年5月，白宫幕僚长苏西·怀尔斯（Susie Wiles）也遭遇了AI语音克隆软件的冒充。 “保持警惕” 科布强调，避免成为此类骗局的受害者，关键在于保持警惕。“最重要的一步已经完成：这些活动已向FBI互联网犯罪投诉中心（IC3）报告，该中心将成为未来此类事件核实信息的主要来源。”他补充道，要核实联系人的真实性，人们应寻求二次验证。“这包括拨打已知可信的电话号码、通过经过验证的社交媒体账户联系对方，或联系与您试图核实对象有私交的人士。”科布建议，“我们需要在互动中形成默认的合理怀疑心态，并将‘信任但核实’作为标准做法。”       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国财政部海外资产控制办公室（OFAC）于7月8日（周二）制裁了朝鲜黑客组织“Andariel”的一名成员，因其参与了臭名昭著的远程IT工作者计划。 财政部表示，现年38岁的朝鲜公民宋金赫（Song Kum Hyok）支持了这一欺诈性计划。他利用外国招募的IT工作者寻求美国公司的远程工作职位，并计划与他们分得收入。 据称，在2022年至2023年间，宋金赫盗用美国公民的身份信息（包括姓名、地址和社会安全号码）为招募的IT工作者伪造化名。这些工作者随后利用这些虚假身份，冒充美国公民在美国境内寻找远程工作。 此次制裁行动发生在美国司法部（DoJ）宣布针对朝鲜IT工作者计划采取广泛行动几天之后。司法部的行动导致一人被捕，并查封了29个金融账户、21个欺诈性网站以及近200台计算机。 制裁还针对一名俄罗斯公民和四家参与俄罗斯境内IT工作者计划的实体。该计划雇佣并托管朝鲜人员以实施恶意操作。被制裁对象包括： Gayk Asatryan：他利用其位于俄罗斯的公司 Asatryan LLC 和 Fortuna LLC 雇佣朝鲜IT工作者。 朝鲜松光贸易总会社（Korea Songkwang Trading General Corporation）：该公司与Asatryan签订协议，派遣多达30名IT工作者到Asatryan LLC在俄罗斯工作。 朝鲜赛纳尔贸易公司（Korea Saenal Trading Corporation）：该公司与Asatryan签订协议，派遣多达50名IT工作者到Fortuna LLC在俄罗斯工作。 此次制裁首次将“Andariel”（隶属于“Lazarus Group”的一个子组织）的威胁行为体与该IT工作者计划联系起来。该计划已成为这个受制裁国家关键的非法收入来源。“Lazarus Group”被评估为隶属于朝鲜侦察总局（RGB）。 财政部副部长迈克尔·福克恩德（Michael Faulkender）表示，此举“凸显了警惕朝鲜持续秘密资助其大规模杀伤性武器（WMD）和弹道导弹计划的重要性”。他重申：“财政部致力于利用一切可用工具，破坏金正恩政权通过窃取数字资产、试图冒充美国人以及恶意网络攻击等手段规避制裁的企图。” 该IT工作者计划（也被追踪为Nickel Tapestry、Wagemole和UNC5267）涉及朝鲜人员利用窃取和伪造的身份信息，受雇于美国公司担任远程IT工作者。其目的是获取固定工资，并通过复杂的加密货币交易将资金输送回朝鲜政权。 这种内部威胁只是朝鲜为该国筹集资金的众多方法之一。TRM Labs汇编的数据显示，仅在2025年上半年，全球发生的75起加密货币盗窃和漏洞利用事件中，总计21亿美元被盗金额中约有16亿美元与朝鲜有关——这主要归因于今年早些时候Bybit交易所遭遇的重大盗窃案。 应对该威胁的举措主要来自美国当局。但DTEX首席i3内部风险调查员迈克尔·“巴尼”·巴恩哈特（Michael “Barni” Barnhart）表示，其他国家也在加紧采取类似行动，并向更广泛的受众提高认识。他指出：“这是一个复杂的跨国问题，涉及许多环节，因此国际合作和开放沟通极为有用。举例来说，一名朝鲜IT工作者可能身在中国，受雇于一家伪装成新加坡公司的空壳公司，再通过一家欧洲供应商签约，最终为美国客户提供服务。这种程度的操作分层凸显了联合调查和情报共享对于有效打击此类活动的重要性。”他补充道：“好消息是，近年来人们的认识已显著提高，我们现在看到了这些努力的成果。这些初步的认知步骤是全球范围内更广泛转变的一部分，旨在识别并积极破坏这些威胁。” 制裁消息发布之际，有报告称朝鲜背景的黑客组织Kimsuky（又称APT-C-55）正在使用名为“HappyDoor”（快乐门）的后门程序攻击韩国实体。据AhnLab称，该恶意软件早在2021年就已投入使用。该后门程序通常通过鱼叉式钓鱼邮件攻击分发，多年来不断改进，使其能够窃取敏感信息、执行命令、PowerShell代码和批处理脚本，并上传目标文件。AhnLab指出：“该威胁行为体主要伪装成教授或学术机构，利用鱼叉式网络钓鱼等社会工程技术分发带有恶意附件的电子邮件。一旦运行这些附件，就会安装后门程序，并可能安装额外的恶意软件。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全公司CTM360最新报告揭露，一场利用虚假新闻网站（BNS）实施跨国投资诈骗的犯罪行动已蔓延至50个国家。这些伪装成CNN、BBC、CNBC或地区媒体的BNS网页发布虚假报道，杜撰公众人物、央行或金融品牌支持新型被动收入项目的消息，旨在快速建立信任并将读者引向Trap10、Solara Vynex等专业级诈骗平台。 诈骗者通过谷歌、Meta及博客网络的赞助广告引流，使用“知名人物最新爆料”等标题党文案搭配官方照片/国旗增强可信度。用户点击后将跳转至假新闻页，最终导向虚假交易平台。多数骗局采用双阶段结构：第一阶段通过广告和假文章诱骗受害者；第二阶段在受害者上钩后启动，所谓“投资顾问”会致电索取身份证件，要求加密货币存款，并以持续“账户验证”拖延提款。这种分层机制帮助诈骗团伙建立虚假信任、延缓怀疑，直至榨干受害者资产。 当前CTM360的Webhunt平台已追踪到17,000余个此类网站。它们普遍托管于.xyz/.click/.shop等廉价顶级域，部分攻击者甚至入侵真实网站的子目录托管BNS内容以增加关停难度。诈骗网页往往根据目标地区定制化呈现——使用当地语言、篡改媒体Logo、结合区域意见领袖及银行信息提升欺骗性。 多数受害者在搜索在线投资或被动收入方法时遭遇骗局，易被模仿正规财经建议的赞助广告诱导。假内容精准匹配高意向搜索词，如“自动化加密货币交易”、“名人背书投资”等定制化诱饵。当受害者进入诈骗平台注册后，“投资经理”会通过专业话术敦促其存入约240美元激活账户。虚假利润仪表盘随即开始模拟盈利，而越深入参与就越被胁迫追加投资。 此类骗局不仅滥用信任，更收集敏感数据用于钓鱼攻击、身份盗窃及二次诈骗，使诱饵新闻网站成为三位一体的跨界威胁：兼具投资欺诈、品牌冒充与数据收割功能。这种模式正日益出现在杀猪盘、虚假KYC平台及联盟欺诈网络中，其生态演变值得重点追踪。 基于MITRE框架开发的CTM360欺诈导航工具完整绘制了骗局全流程：从资源架设、广告投放、受害者交互到数据窃取与资金变现。BNS在传播阶段扮演关键角色，成为庞大欺诈链条的入口节点。目前CTM360持续监控相关活动，并向受影响国家/机构提供关停支持、威胁情报及风险防护服务。 （注：CTM360是集成外部攻击面管理、数字风险防护、网络威胁情报、品牌保护与反钓鱼等功能的统一安全平台，提供覆盖明网/深网/暗网的无缝监测及无限关停服务。该方案无需用户配置安装，所有数据预填充且定向匹配机构需求，全程由CTM360托管运营。）         消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 随着亚马逊Prime Day临近，各种优惠承诺令人期待，网络犯罪分子也如秃鹫般盘旋伺机而动。 今年的亚马逊Prime Day定于7月8日，当购物者们为折扣和优惠摩拳擦掌时，黑客们正忙于炮制虚假网站、钓鱼邮件和域名陷阱。大型购物节日往往潜藏着混乱的可能，而犯罪分子深知混乱有利可图。 仅在六月的头几周，Check Point的安全研究人员就发现了超过1,230个试图冒充亚马逊的新域名。其中约87%的域名充其量可疑，往坏了说则完全是恶意的。近1/81的这些域名包含了“Amazon Prime”字眼，旨在诱骗用户点击并泄露其登录凭证。 研究人员警告，骗子们正在发送看似亚马逊客服的钓鱼邮件，主题行涉及“退款错误”或“账户问题”。这些邮件经过精心设计，意在触发受害者的紧迫感。一旦点击链接，用户会被带到一个几可乱真的虚假亚马逊登录页面。结果不是更新了所需信息，而是将亚马逊凭证拱手送给了威胁行为者。 在此活动中观察到的一些欺诈网站示例： Amazon02atonline51[.]online amazon-2025[.]top 此类攻击一旦成功，可能导致未经授权的购物、身份盗用或礼品卡滥用。在黑色星期五、网络星期一或情人节前夕，也曾观察到类似的诈骗威胁激增，专家警告购物者需保持高度警惕。 如何在亚马逊Prime Day期间保证安全？ 警惕可疑网址：如果你要点击一个以 .top 或 .online 结尾、或者带有连字符和额外数字的链接，请停手。计划好购物，直接访问亚马逊官网或应用。如果使用浏览器，务必手动输入 amazon.com。 避免点击邮件链接：如果收到关于账户问题的紧急邮件，请新开标签页手动访问亚马逊。不要跟随骗子设下的数字陷阱。 检查锁标，但仍需验证：HTTPS 和挂锁图标有帮助，但虚假网站也能伪造这些。真正的关键点在于域名本身。如果它看起来可疑，那很可能就是钓鱼。 启用双重认证并使用强密码：在亚马逊上设置双重认证。同时，使用密码管理器，因为重复使用密码会大大增加被入侵的风险。 紧急=诈骗套路：如果信息尖叫着要你立即行动，请先深呼吸。骗子总是利用紧迫感设局。如果是真的，十分钟后它依然还在。 难以置信的优惠？那很可能就是骗局：如果某款iPhone在一个非亚马逊的随机网站上打85折，那是个陷阱。你唯一可能拆箱的只有后悔。 使用安全支付方式：虚拟卡、支付应用等任何提供额外保护的方式，都是在线购物的好选择。避免电汇或直接银行转账。       消息来源： Cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 恶意攻击者正试图借伊朗局势升温之机倒卖旧数据。尽管数据陈旧，其潜在危害仍不容小觑。 某数据泄露论坛近期出现兜售伊朗核能生产开发公司（NPPD）敏感数据的广告。该公司隶属伊朗原子能组织（AEOI），负责国家核能开发管理。攻击者宣称窃取了高达25GB的机密数据，包含员工姓名、身份证件、核能项目文件，甚至部分员工的加密货币持有量。 网络安全研究团队分析样本后指出，所谓“新泄露”实为2019-2020年旧数据的重新包装，涉嫌欺诈买家。研究人员强调：“此类旧数据改头换面高价出售已成常态。数据不会过期，可反复用于受害者画像分析或大规模凭证填充攻击，直至榨干最后一分钱。” 当前伊朗-以色列冲突骤然升级背景下，攻击者可能利用这些核能机构员工信息实施精准钓鱼攻击。6月以来，双方黑客组织活动激增：伊朗黑客劫持以色列家庭监控摄像头实时追踪人员动向，迫使政府通过广播警告民众；以色列黑客则对伊朗金融系统实施打击，窃取加密货币交易所近9000万美元资产。网络安全专家警示：“网络领域已成为以伊冲突主战场。”         消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 身份认证服务商Okta警告称，注册欺诈已达到“惊人”的规模，并声称在2024年，高达46%的客户注册尝试是由机器人发起的。 Okta在其《2025年客户身份趋势报告》中披露了这些数据。该报告基于对全球6750名消费者的调查以及其Auth0平台上的运营遥测数据编写而成。 Okta表示，注册欺诈尝试的激增逆转了近期下降的趋势，这可能是由AI赋能的攻击流程导致的。 “今年的结果凸显了AI如何挑战我们信任数字交互真实性的能力，” Okta EMEA首席安全官Stephen McDermid表示。“我们正在进入一个时代，在这个时代里，我们不仅必须问‘谁’值得信任，更要问‘什么’才能真正信任。这个新的攻击面要求我们为AI时代构建一个安全的基础，从静态策略转向动态策略，并将身份置于核心位置。” 报告指出，欺诈尝试在全年波动显著，在4月6日飙升至近93%，而在2月29日则低至14%。不过，在其他任何一天，该数字都没有低于30%。 零售和电子商务公司受到的打击最为严重，占2024年注册欺诈尝试的69%，其次是金融服务(64%)、能源/公用事业(56%)和制造业(54%)。Okta表示，零售商和金融服务机构提供的注册激励和会员专属优惠可能吸引了欺诈者的关注。 然而，Okta警告称，注册欺诈不仅消耗此类注册奖励。它还可能使网络犯罪分子能够发现现有用户账户，利用沉淀账户在日后绕过安全控制，甚至通过消耗资源来执行拒绝服务(DoS)攻击。 企业面临的挑战在于，如何在加强身份认证安全的同时，不过度增加注册过程的摩擦。 报告还揭示了一个矛盾现象：尽管64%的用户表示担心身份欺诈，72%的用户在注册前会评估公司的安全措施，但仍有近四分之一的用户“总是”或“经常”因注册或登录流程问题而放弃在线购买。填写冗长的登录/注册表单（62%）最常被用户视为注册或登录过程中的烦恼来源。 如何应对暴力破解攻击？ Okta敦促企业采取以下措施来反击此类机器人驱动的欺诈尝试： 投资于DDoS缓解服务； 部署基于行为分析、威胁情报和反馈循环的机器人过滤技术； 实施速率限制控制； 在达到风险阈值时增加验证码(CAPTCHA)要求； 收紧可疑IP阈值，并实施访问控制列表(ACL)以阻止滥用IP； 在边缘使用Web应用防火墙(WAF)规则拦截恶意活动； 鼓励客户使用通行密钥(passkey)进行注册。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 恶意广告网络如同不死鸟，每次被打击后都会以新名称重生，犯罪团伙随即蜂拥而至。安全研究团队近期揭露：网站黑客与特定广告技术公司存在深度勾结。 自2015年底起，黑客劫持WordPress等网站后，会将访问者重定向至VexTrio——全球最大的犯罪流量分发系统（TDS）。该恶意联盟计划进而通过被劫持网站传播恶意软件、诈骗信息及非法内容。这套犯罪系统如同智能路由：在伪装无害的前提下，精准将用户引导至恶意站点。 安全公司Infoblox研究发现，多家表面独立的广告技术公司实际与该犯罪网络紧密交织。整个体系犹如多头蛇怪：一个广告技术节点被斩断，立即会有新节点补位。11月13日曝光的瑞士-捷克广告公司Los Pollos便是典型代表——该企业不仅参与犯罪活动，更被俄罗斯虚假信息组织Doppelganger用于宣传操作。 Los Pollos的推送链接变现服务关停后，被劫持的WordPress网站立即更新重定向机制，以完全相同的方式将用户导向新广告技术平台Help TDS。调查显示，Help TDS并非新生系统，而是与VexTrio勾结多年的老牌犯罪渠道。GoDaddy研究团队曾指出，Help与此前发现的“一次性TDS”高度相似，两者均长期为VexTrio输送犯罪流量。 深层溯源揭露更多广告技术公司与VexTrio存在惊人共性：共享代码架构的Partners House、BroPush、RichAds等平台，其URL结构、核心文件均指向同一技术源头。尽管这些企业均存在俄罗斯关联且长期互相引流，但至今未发现明确的共同股权关系。 犯罪链条的商业模式 为何黑客不自建网络而依赖广告平台？关键在于精细化欺诈：恶意流量分发系统按“用户行为”向被劫持网站支付佣金——当受害者提交邮箱、信用卡等敏感信息时，犯罪收益便自动生成。 这些所谓“广告内容”实为诈骗陷阱： 冠以“主流交友”、“抽奖活动”之名的加密货币骗局 成人内容与恶意软件下载站 通过欺诈性订阅推送通知实施持续诈骗 犯罪广告平台通常运营封闭的广告池，仅对特定恶意合作伙伴开放。 犯罪基础设施的双重布局 Infoblox通过分析450万次DNS查询，发现两套位于俄罗斯的独立控制服务器集群： 使用差异化主机服务 配置不同的重定向域名 采用分离的URL结构 共同点为最终均指向VexTrio犯罪网络。 追责困境与突破口 犯罪者身份仍隐匿于： 通过Cloudflare等代理服务隐藏行踪 利用防弹主机掩盖服务器位置 刻意分割技术特征规避溯源 广告平台常以“无法管控恶意合作方”推诿责任，强调其仅充当发布商与广告主的中介。但安全团队指出：这些平台掌握着犯罪联盟的会员信息与交易数据，实为追踪犯罪者的关键突破口。能否配合执法提交证据，将成为检验其是否“被动涉罪”的试金石——毕竟它们清楚知晓，每天将多少无辜访客引向了全球诈骗犯的陷阱。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文