一名未知黑客组织涉嫌参与一场大规模诈骗活动，该活动利用电子邮件安全供应商 Proofpoint 防御系统中的电子邮件路由配置错误漏洞，发送数百万条冒充百思买、IBM、耐克、华特迪士尼等多家知名公司的邮件。 滥用 Proofpoint 基础设施，以客户名义完美伪造电子邮件 Guardio Labs 研究员 Nati Tal在一份报告中表示：“这些电子邮件通过安全验证的SPF 和 DKIM 签名从官方 Proofpoint 电子邮件中继中发出，从而绕过了主要的安全保护措施 —— 所有这些都是为了欺骗收件人并窃取资金和信用卡详细信息。” Guardio Labs将此次活动命名为EchoSpoofing。据信该活动始于 2024 年 1 月，攻击者利用该漏洞平均每天发送多达 300 万封电子邮件，当 Proofpoint 开始采取对策时，这一数字在 6 月初达到 1400 万封的峰值。 Guardio Labs 研究员称：“这个域名最独特和最强大的部分是欺骗方法——几乎没有机会意识到这不是由这些公司发送的真正电子邮件。” 带有经过身份验证的发件人和恶意内容的伪造 Disney.com 电子邮件示例 “EchoSpoofing 非常强大。奇怪的是，它被用于这种大规模网络钓鱼，而不是精品鱼叉式网络钓鱼活动——攻击者可以迅速窃取任何真实公司团队成员的身份并向其他同事发送电子邮件——最终通过高质量的社会工程，获取内部数据或凭证，甚至危及整个公司。” 该技术涉及攻击者从虚拟专用服务器 (VPS) 上的 SMTP 服务器发送消息，值得注意的是，它符合SPF 和 DKIM 等身份验证和安全措施，它们分别是发件人策略框架和域名密钥识别邮件的缩写，是指旨在防止攻击者模仿合法域的身份验证方法。 这一切都归结为这样一个事实：这些邮件是从 Microsoft 365 租户路由的，然后通过 Proofpoint 企业客户的电子邮件基础设施进行中继，以到达 Yahoo!、Gmail 和 GMX 等免费电子邮件提供商的用户。 这就是 Guardio 所说的 Proofpoint 服务器（“pphosted.com”）中“超级宽容的错误配置缺陷”造成的结果，它实际上允许垃圾邮件发送者利用电子邮件基础设施来发送邮件。 转发中继配置允许伪造的标头流经 Exchange 服务器 Proofpoint在一份报告中表示：“根本原因是 Proofpoint 服务器上可修改的电子邮件路由配置功能，允许中继组织从 Microsoft 365 租户发出的出站消息，但没有指定允许哪些 M365 租户。” “任何提供此电子邮件路由配置功能的电子邮件基础设施都可能被垃圾邮件发送者滥用。” 换句话说，攻击者可以利用该漏洞设置恶意 Microsoft 365 租户，并将伪造的电子邮件消息发送到 Proofpoint 中继服务器，然后这些电子邮件会被“回送”，成为冒充客户域的真实数字信件。 而这又通过将 Exchange Server 的外发电子邮件连接器直接配置到与客户关联的易受攻击的“pphosted.com”端点来实现。此外，破解版的合法电子邮件传递软件PowerMTA也用于发送邮件。 Proofpoint 表示：“垃圾邮件发送者使用来自多家提供商的一系列轮流租用的虚拟专用服务器 (VPS)，使用许多不同的 IP 地址从其 SMTP 服务器一次性快速发送数千条邮件，发送到 Microsoft 365，然后中继到 Proofpoint 托管的客户服务器。” “Microsoft 365 接受了这些欺骗性消息，并将其发送到这些客户的电子邮件基础设施进行中继。当客户域在通过匹配客户的电子邮件基础设施中继时被欺骗时，DKIM 签名也会在邮件通过 Proofpoint 基础设施传输时应用，从而使垃圾邮件更容易被传递。” 针对迪士尼 Proofpoint 电子邮件中继服务器的侧信道攻击 人们怀疑，EchoSpoofing 是垃圾邮件运营商故意选择的，作为一种获取非法收入以及避免长期暴露风险的方式，因为通过这种运作方式直接针对公司可能会大大增加被发现的机会，从而有效地危及整个计划。 目前尚不清楚谁是该活动的幕后黑手。Proofpoint 表示，该活动与任何已知的黑客组织均无重叠。 该公司在一份声明中表示：“今年 3 月，Proofpoint 研究人员发现，垃圾邮件活动通过少数 Proofpoint 客户的电子邮件基础设施进行，通过 Microsoft 365 租户发送垃圾邮件。”“所有分析都表明，这一活动是由一名垃圾邮件参与者进行的，我们并未将其活动归咎于任何已知实体。” “EchoSpoofing” 操作活动——每天大约发送的欺骗电子邮件数量 “自发现此垃圾邮件活动以来，我们一直在努力提供纠正说明，包括为客户实施简化的管理界面，以指定允许哪些 M365 租户中继，所有其他 M365 租户默认被拒绝。” Proofpoint 强调，这些活动并未导致任何客户数据泄露，也未造成任何数据丢失。该公司进一步指出，已直接联系部分客户，要求他们更改设置，以阻止出站中继垃圾邮件活动的有效性。 “当我们开始阻止垃圾邮件发送者的活动时，垃圾邮件发送者加快了测试速度，并迅速转向其他客户。”该公司指出。“我们建立了一个持续的流程，每天识别受影响的客户，重新确定优先顺序以修复配置。” 为了减少垃圾邮件，它敦促 VPS 提供商限制其用户从其基础设施上托管的 SMTP 服务器发送大量邮件的能力。它还呼吁电子邮件服务提供商限制免费试用和新创建的未经验证租户发送批量出站电子邮件的能力，并阻止攻击者发送伪造过的他们没有所有权的域名的邮件。 Tal 表示：“对于 CISO 来说，主要要点是要格外注意其组织的云态势，特别是在使用第三方服务时，这些服务将成为公司网络和通信方法的支柱。特别是在电子邮件领域，始终保持反馈循环和自我控制，即使您完全信任您的电子邮件提供商。” “至于其他提供此类骨干服务的公司，就像 Proofpoint 一样，他们必须保持警惕，积极主动地首先考虑所有可能出现的威胁。不仅是直接影响客户的威胁，还有更广泛的公众。 “这对我们所有人的安全都至关重要，而创建和运营互联网骨干的公司，即使是私营公司，也对此负有最高责任。就像有人说的那样，虽然语境完全不同，但在这里却如此贴切：‘能力越大，责任越大。’”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/MtgX4BJEdwt1fenbD581Fg 封面来源于网络，如有侵权请联系删除

网络钓鱼攻击仍然是最普遍的网络威胁之一，并经常成为更大规模供应链攻击活动的前兆。最近，Check Point的威胁情报部门发布了 2024 年第二季度网络犯罪分子最常冒充品牌的排名，该排名揭示了哪些公司最常被攻击者用来欺骗用户并窃取个人或支付信息。 2024 年第二季度显示，微软仍然是被冒充最多的品牌，占所有网络钓鱼尝试的一半以上，占 57%。苹果以10%位列第二位，高于今年第一季度的第四位。LinkedIn以7%保持了第三的位置。此外，阿迪达斯、WhatsApp 和 Instagram 自 2022 年以来首次重新出现在前 10 名中。 科技行业仍然是网络钓鱼攻击中最常被欺骗的行业，其次是社交网络和银行业。微软、谷歌和亚马逊等科技公司经常存储敏感数据，包括个人和财务信息，并提供对其他帐户的访问权限，这使它们成为网络犯罪分子的诱人目标。 2024 年第 2 季度冒充网络钓鱼攻击的 10 大品牌： 微软（57%） 苹果 （10%） LinkedIn （7%） 谷歌 （6%） 脸书 （1.8%） 亚马逊 （1.6%） DHL （0.9%） 阿迪达斯 （0.8%） WhatsApp的 （0.8%） Instagram的 （0.7%） 在第二季度，Check Point观察到几起模仿阿迪达斯品牌网站的网络钓鱼活动。例如adidasyeezys[.]CZ 和 Adidasyeezys[.]。这些欺诈性网站在视觉上复制了原始的阿迪达斯官方页面。 近几个月来，利用 Instagram进行在线诈骗的活动迅速增加，导致其排名进入前10。一个例子包括 instagram-nine-flame[.] 上的网络钓鱼页面，通稿模仿 Instagram 登录界面，诱导用户输入账户登录凭证。另一个例子是 instagram-verify-account[.]tk，以要求用户验证其 Instagram 帐户为幌子，敦促用户输入个人信息。 如今，网络钓鱼攻击正持续构成重大安全威胁，用户必须提高警惕，避免个人敏感数据落入网络犯罪分子设下的陷阱。   转自Freebuf，原文链接：https://www.freebuf.com/news/407192.html 封面来源于网络，如有侵权请联系删除

近日，世界观察组织的专家团队揭露了一种新型流量分配系统（TDS），该系统与附属营销紧密相关，并在多起欺诈计划中被积极利用。由于其URL重定向中独特的“0/0/0”序列，这一系统被命名为R0bl0ch0n TDS，已经对全球约1.1亿互联网用户造成了影响。 附属营销本是一种正当的商品与服务推广方式，但在本次事件中，它被用作散播欺诈广告的手段。研究人员发现，有数百个小规模的附属网络专门推广可疑的优惠，这些优惠往往与知名的诈骗计划相关。 R0bl0ch0n TDS是一个包含众多域名和专用服务器的复杂架构，由Cloudflare提供安全保护。尽管操纵者在他们的计划中加入了一些合法功能，例如退订和反馈机制，但他们也采取了重要措施来隐藏这些操作背后的真正组织。 技术分析显示，R0bl0ch0n TDS中嵌入电子邮件的URL遵循固定模式（<domain>/bb/[0-9]{18}），并通过多个自动重定向将用户引导至假冒商店或调查页面。值得注意的是，由于需要用户参与来绕过假CAPTCHA，这些URL无法被自动化系统准确分析。 专家们还发现，托管假冒调查的域名会主动与第三方网站交换用户数据。例如，域名facileparking.sbs向event.trk-adulvion.com传输信息。这个域名网络从2021年夏天开始运营，在亚马逊网络服务（AWS）服务器上拥有300多个专用IP地址。 DomainTools的数据显示，自2021年起，event子域的A型DNS请求总数约为1.1亿。考虑到每个用户由于指纹识别机制只记录一次DNS请求，这个数字准确地反映了这些欺诈计划所针对的总人数。 研究人员识别了通过R0bl0ch0n TDS分发的两类主要欺诈性优惠： 1. 抽奖活动 提供诱人的中奖信息，要求用户完成在线调查后支付小额运费。实际上，这会导致用户注册定期支付的订阅服务（每两周20至45欧元）。美国联邦贸易委员会报告称，投诉导致的损失总额超过3亿美元，平均每人损失约900美元。世界观察组织的专家认为，考虑到每天发送的广告量，实际损失可能更高。 2.家居改善优惠 推广价格过高的服务，如檐槽过滤器、太阳能电池板、热泵或老年人使用的步入式淋浴。这些计划通常通过电子邮件传播或利用搜索引擎优化（SEO）进行推广。每次用户填写联系表后，附属公司可获得佣金，随后“销售人员”会联系潜在客户。而且，卖家经常故意夸大客户可能有资格获得的政府补贴金额。 R0bl0ch0n TDS的URL通过多种方法进行初始分发： 使用带有URL片段数据的随机AWS子域，这些数据可能与附属程序参数相关联。 使用匹配特定模式的随机Azure子域，URL片段中的数据同样传递给R0bl0ch0n TDS。 使用URL缩短服务。 专家指出，利用AWS或Azure等合法基础设施服务或URL缩短器，附属公司能够轻松地修改和部署新的基础设施，从而绕过谷歌安全浏览或反垃圾邮件过滤器中的检测系统和对策。   转自FreeBuf，原文链接：https://www.freebuf.com/news/406861.html 封面来源于网络，如有侵权请联系删除

加密货币分析师揭露了一个名为 HuiOne Guarantee 的在线市场，该市场被东南亚的网络犯罪分子广泛使用，尤其是与生猪屠宰骗局有关的犯罪分子。 Elliptic在一份报告中表示：“Huione Guarantee 是东南亚诈骗集团的主要推动者之一，根据发现的证据，商户平台的支付系统‘积极参与洗钱世界各地的诈骗所得’。该平台为相关参与者提供技术、数据和洗钱服务，交易总额至少达 110 亿美元。” 这家英国区块链分析公司表示，该市场隶属于Huione 集团，该集团是一家与柬埔寨官方有联系的柬埔寨企业集团，而Huione 集团另一家企业汇旺国际支付 (HuiOne International Payments) 正积极参与全球洗钱诈骗收益。 据其网站介绍， HuiOne 金融服务部门拥有 50 万注册用户。该公司还宣称其客户包括PayGo Wallet、银联和 Yes Seatel。 缅甸、柬埔寨、老挝、马来西亚、缅甸、菲律宾等东南亚国家近年来已成为危害全球的杀猪盘骗局的滋生地。 根据 Elliptic 的调查，缺乏审核加上不健全的支付框架为网络犯罪分子买卖以下物品/服务创造了肥沃的土壤： 洗白勒索软件组织和“杀猪盘诈骗”的非法收入 接受受害者的付款并将其转换为现金、稳定币和中国支付应用程序积分。 创建用于“杀猪盘”行动的加密货币投资诈骗网站。 与受害者交流时使用的人工智能换脸软件。 窃取个人数据（包括联系方式），用于锁定潜在受害者。 为诈骗行动提供便利的电信设备。 销售诈骗团伙使用的酷刑和控制设备。 Huione Guarantee 及其商家使用的加密货币钱包收到的 USDT 价值。这些数字应被视为平台真实交易量的下限。 在这些骗局中，不知情的亚洲和非洲人被该地区的高薪工作诱惑，最终却被困在跨国有组织犯罪集团经营的“诈骗团伙”内，被迫参与欺诈活动。 这些行为包括在社交媒体和约会平台上创建虚假账户，并利用它们与受害者发展恋爱关系，最终说服他们投资不存在的加密货币业务，目的是吸走他们的资金。 HuiOne Guarantee 成立于 2021 年，由 Telegram 上的数千个即时通讯应用频道组成，这些频道由不同的商家运营。尽管该公司声称自己是房地产和汽车的交易市场，但 Elliptic 表示，其提供的大多数商品和服务都是针对网络诈骗运营商的。 Huione Guarantee 商家提供用于杀猪骗局的加密货币投资网站的网页开发（左）、供骗子瞄准的全球个人的个人数据（中）以及用于诈骗的 AI 换脸软件（右）。 该公司解释道：“在汇旺担保上运营的最大一类商户是那些提供货币转移和兑换服务的商户。” “许多商家明确提供洗钱服务，包括接受来自世界各地受害者的付款、将其跨境转移并将其转换为现金、稳定币和中国流行的支付应用程序等其他资产。” 此外，还发现商家宣传软件和网络开发服务，为创建用于杀猪盘诈骗的加密投资诈骗网站提供便利，并且推销催泪瓦斯、电棍和电子镣铐，供诈骗团伙经营者监禁和折磨工人。 Huione Guarantee 上的电击镣铐（左）和电棍（右）广告，商家建议使用这些产品对付诈骗大院的工人。 根据慢雾在今年 1 月初分享的数据，据称与汇旺担保有关联的商家进一步通过一个钱包进行加密货币交易，该钱包从另一个与缅甸联军有关的钱包中收到了超过 460 万美元。 Elliptic 表示：“汇旺担保及其商家收到的加密货币的价值以及所提供的商品和服务类型表明，它是东南亚网络诈骗运营商的关键推动者。”   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/Qrr2XVrnyzt1QB_XpY7vfg 封面来源于网络，如有侵权请联系删除

近日，据Bleepingcomputer报道，代号Sp1d3rHunters的黑客宣称泄露了美国歌手泰勒斯威夫特（Taylor swift）“Eras Tour”演唱会的16.6万张门票的条形码数据，并索要200万美元赎金，否则将泄露更多门票数据。美国歌手泰勒斯威夫特号称“行走的GDP”，与英伟达并称“美国经济两大支柱”，因其演唱会近年来席卷全球，堪称吸金龙卷风。这也让很多犯罪分子眼红，纷纷对其粉丝下手，实施各种诈骗。此次巡演门票数据大规模泄露，不禁让人担心更大规模的门票诈骗事件。据英国劳埃德银行统计，2023年7月以来，至少有3000人可能被诱骗购买了假的斯威夫特演唱会门票，总计损失超过100万英镑。 “雪花事件”的余震 泰勒斯威夫特的演唱会门票泄露与此前票务巨头Ticketmaster的数据泄露事件有关。今年5月，知名黑客组织ShinyHunters以50万美元的价格出售5.6亿Ticketmaster客户数据。Ticketmaster随后确认了数据泄露，表示这些数据来自他们在Snowflake（雪花公司）的云端账户。Snowflake是一家基于云的数据仓库公司，为企业提供云存储数据库、用于数据处理和分析。4月，黑客开始使用通过信息窃取恶意软件盗取的凭证，下载了至少全球165个大型企业和机构的Snowflake数据库。随后，这些黑客开始向受害公司勒索，要求支付赎金以防止数据被泄露。确认从Snowflake账户中泄露数据的公司包括Neiman Marcus、洛杉矶联合学区、Advance Auto Parts、Pure Storage和桑坦德银行等知名组织。 巡演门票只是冰山一角 黑客Sp1d3rHunters之前名为Sp1d3r，是从Snowflake账户盗取数据并公开勒索上百家知名企业的幕后黑手。 在黑客论坛上泄露的近17万泰勒斯威夫特巡演门票数据 来源：bleepingcomputer 根据威胁情报服务HackManac上发布的帖子，Sp1d3rHunters泄露的16.6万张泰勒·斯威夫特Eras巡演门票条码数据用于多个演唱会日期的入场，包括即将在迈阿密、新奥尔良和印第安纳波利斯举行的演唱会。帖子中还包含了一小部分所谓的条码数据样本，这些数据包含用于生成可扫描条码的值、座位信息、门票面值等信息。威胁行为者还分享了如何将这些数据转换为可扫描条码的细节。 Sp1d3rHunters要求Ticketmaster支付200万美元赎金，否则将泄露更多用户和门票数据。 “支付200万美元，否则我们将泄露你们的6.8亿用户信息和另外3000万个活动条码，包括更多的泰勒·斯威夫特活动、P!nk、Sting、体育赛事F1方程式赛车、MLB、NFL等数千个活动，”Sp1d3rHunters在帖子中写道。 安全研究人员发现，虽然新泄露的门票条码数据并不包含在5月泄露的初始Ticketmaster数据样本中，但一些新泄露的数据可以在旧的泄露数据中找到，包括门票的哈希值、信用卡和销售订单等信息。 这些攻击背后的组织是ShinyHunters，多年来他们对许多数据泄露事件负责，包括在2020年泄露了18家公司3.86亿用户记录、影响7000万客户的AT&T数据泄露事件，以及最近泄露的3300万个使用Authy多因素认证应用的电话号码。 Ticketmaster的回应 美国东部时间2024年7月5日下午3:44，Ticketmaster在回复bleepingcomputer的公告中指出，其防伪技术每隔几秒钟就会刷新（轮换）门票条码数据，因此被盗的门票（条码）无法使用。 “Ticketmaster的SafeTix技术通过每几秒自动刷新一个新的唯一条码来保护门票，确保它们不会被盗或复制，”Ticketmaster指出：“这是我们实施的众多防欺诈保护措施之一，以确保门票的安全。” Ticketmaster还表示没有与黑客进行任何赎金谈判，并否认ShinyHunters所说的愿意支付100万美元赎金以删除数据的说法。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/TxaoXkGgFvhws_rjkrjLDw 封面来源于网络，如有侵权请联系删除

两名男子Thomas Pavey（又名“Dopenugget”）和Raheim Hamilton（又名“Sydney”和“Zero Angel”）因在2018年至2020年经营暗网市场“帝国市场”而被芝加哥联邦法院起诉。 根据起诉书，在开始帝国市场之前，两人之前曾参与在AlphaBay上出售假冒美国货币。 这两名男子被指控促成了400多万笔交易，总价值超过4.3亿美元，涉及非法商品和服务。当局指控他们犯有各种罪行，包括贩毒、计算机欺诈、访问设备欺诈、伪造和洗钱，这些罪行在联邦监狱中最高可判处终身监禁。Pavey和Hamilton目前被美国执法拘留，传讯尚未安排。 “根据周四芝加哥美国地方法院发布的替代起诉书，托马斯·佩维（THOMAS PAVEY），又名“Dopenugget”，38 岁，来自佛罗里达州奥蒙德海滩；拉海姆·汉密尔顿（RAHEIM HAMILTON），又名“Sydney”和“Zero Angel”，28 岁，来自弗吉尼亚州萨福克，2018 年至2020 年期间拥有并经营帝国市场，在此期间，他们促成了大约400万笔卖家和买家之间的交易，价值超过4.3亿美元。”美国司法部发布的新闻稿写道。起诉书称，他们于 2018年2月1日开始经营帝国市场。” 暗网市场帝国市场以多类非法商品为特色，如非法药物、假冒商品、软件和恶意软件以及信用卡号，它允许用户使用比特币（BTC）、门罗币（XMR）和莱特币（LTC）付款。 暗网市场于 2020 年关闭，用户没有时间从托管账户中提取资金，当时一些用户将此归咎于长时间的拒绝服务 (DDoS) 攻击，而其他人则怀疑这是退出骗局。 这两家运营商使用加密货币来掩盖非法交易的性质和身份，并鼓励用户使用“混币”服务，即混合和交换加密货币以掩盖其来源和与市场的联系。 在调查期间，联邦调查局在扣押时查获了价值7500万美元的加密货币，以及现金和贵金属。   转自e安全，原文链接：https://mp.weixin.qq.com/s/587G_Xvo1ETyCmiKj2Ho4g 封面来源于网络，如有侵权请联系删除

据Barracuda公司的最新报告显示， 2023 年，有约 92% 的企业平均在一年内经历了 6 次因电子邮件社交工程攻击导致的凭据泄露事件。 在去年的社交工程攻击中，诈骗和网络钓鱼占了86%。 报告中提到了几种社工攻击的趋势，包括： 对话劫持： 这是指攻击者通过网络钓鱼攻击入侵企业账户，然后监控被入侵的账户，以了解企业运营情况，了解正在进行的交易、付款程序和其他细节。攻击者利用这些信息，从冒充的域名中编造看似真实、令人信服的信息，诱骗受害者汇款或更新付款信息。2023 年，对话劫持仅占社交工程攻击的 0.5%，但与 2022 年相比，却上升了近 70%。 勒索：这类攻击涉及黑客威胁向受害者的联系人暴露敏感或令人尴尬的内容，除非支付赎金。勒索攻击占 2023 年社会工程学攻击总数的 2.7%。 攻击者不断利用合法服务 梭子鱼报告强调，通过利用上述的社交工程技术，越来越多攻击者开始使用合法服务来攻击员工。 Gmail 是迄今为止社交工程攻击中使用最多的电子邮件域，占去年攻击的 22%。 黑客最常用的免费网络邮件服务依次是 Outlook（2%）、Hotmail（1%）、iCloud（1%）和 Mail.com（1%）。所有其他域名占攻击总数的 73%。使用 Gmail 的攻击尤其偏向于 BEC，50% 以上的 Gmail 攻击用于此目的。在 2023 年使用 Gmail 的攻击中，诈骗占 43%。 研究人员还发现，越来越多网络犯罪分子开始利用流行的商业 URL 缩短服务在钓鱼电子邮件中嵌入恶意链接。这种策略有助于掩盖链接的真实性质和目的地，因为它们通常看起来像是来自合法网站。 去年使用最广泛的 URL 缩短服务是 bit.ly，近 40% 的包含缩短 URL 的攻击都利用了它。 其次最常用的服务是 X（前 Twitter），在 16% 的包含缩短 URL 的攻击中使用。 与 2020 年的研究相比发生了重大变化，当时约有三分之二的攻击（64%）使用了 X 的缩短服务，而 bit.ly 仅占 3%。 报告中强调的另一个显著趋势是 2023 年末 QR 码网络钓鱼攻击的显著增加，约有 5% 的邮箱成为二维码攻击的目标。 网络犯罪分子会在钓鱼邮件中嵌入二维码，提示用户扫描二维码并访问一个看似可信服务或应用程序的虚假页面。这些页面通常是为了诱骗用户下载恶意软件或输入登录凭证。 研究人员指出，由于没有嵌入链接或恶意附件可供扫描，因此使用传统的电子邮件过滤方法很难检测到 QR 代码攻击。 通过电子邮件发送的 QR 码还能诱导受害者转而到不受公司安全软件保护的个人设备，如手机或 iPad上进行操作。   转自Freebuf，原文链接：https://www.freebuf.com/news/403895.html 封面来源于网络，如有侵权请联系删除

近日，网络安全&垃圾邮件防护公司 Proofpoint 发现了一种利用钢琴主题的信息实施预付款欺诈（AFF）的恶意电子邮件活动。 这些活动至少从 2024 年 1 月开始活跃，主要针对北美高校的学生和教师。不过，医疗保健、食品饮料和服务等行业也受到了影响。据 Proofpoint 称，今年到目前为止，已观察到超过 12.5 万封与该诈骗集群有关的电子邮件。 在这些欺骗性电子邮件中，欺诈者通常以家庭成员去世等个人情况为由提供免费钢琴。然后，受骗者会被引导至一家同样由欺诈者的虚假运输公司，该公司要求受骗者在钢琴发货之前支付运费。 诈骗者接受各种付款方式，包括 Zelle、Cash App、PayPal、Apple Pay 和加密货币。此外，他们还试图收集受骗者的个人信息，如姓名、地址和电话号码。 此次调查中的一个显著发现是欺诈者使用的比特币钱包，该钱包已经处理了超过 90 万美元的交易。巨大的交易量表明，可能有多个威胁行为者在使用这个钱包进行各种诈骗。 尽管电子邮件内容统一，但发件人地址各不相同，由姓名和号码组合而成，通常使用免费电子邮件服务。这些活动还以电子邮件内容和联系地址的多次迭代为特色。 为了进一步深入了解这些诈骗者，Proofpoint 利用研究人员管理的重定向服务捕获了一名犯罪者的 IP 地址和设备信息，这些数据帮助研究人员确认了部分行动是在尼日利亚进行的。 预付费诈骗也称为 419 诈骗，通常是诈骗者要求预付小额款项，以换取承诺的大额报酬。这些骗局通常包括关于遗产、工作机会或其他有利可图的复杂故事。一旦受害者支付了首笔款项，骗子就会停止一切联系，携款消失。 这些欺诈行为严重依赖社交工程和多样化的付款方式。正因为如此，Proofpoint 公司提醒公众保持警惕。该公司建议人们了解黑客使用的常见技术，并警告他们如果一封未经请求的电子邮件听起来好得不像真的，那么它很大可能确实是假的。   转自FreeBuf，原文链接：https://www.freebuf.com/news/402361.html 封面来源于网络，如有侵权请联系删除

therecord网站消息，美国悬赏500万美元，以获取被控代表朝鲜诈骗公司近 700 万美元的 IT 员工信息。 美国国务院称，从 2020 年 10 月到 2023 年 10 月，一位名叫克里斯蒂娜-查普曼（Christina Chapman）的美国公民帮助化名为 Jiho Han、Chunji Jin 和 Haoran Xu 的工作者以软件和应用程序开发员的身份在多个行业和领域的公司实施欺诈，获得远程工作。 查普曼、以上三名工作者以及一名27岁的乌克兰人奥列克桑德尔·迪登科（Oleksandr Didenko）已被联邦检察官指控参与该计划。三名工作者的经理（化名 Zhonghua 和 Venechor S ）被列为未被起诉的同谋。 本周三，查普曼在她的家乡亚利桑那州利奇菲尔德公园被捕，迪登科于 5 月 7 日在波兰被捕，美国正在寻求对他的引渡。 国务院表示，该诈骗计划帮助 Jiho Han、Chunji Jin 和 Haoran Xu 使用属于 60 多名真实美国人的虚假身份在美国公司获得非法远程工作，为朝鲜创造了至少 680 万美元的收入。 司法部表示，该计划影响了 300 多家美国公司，导致 100 多次向国土安全部传递了虚假信息，为超过 35 名美国人制造了虚假纳税义务。 据美国国务院介绍，这三名工作者与朝鲜军火工业部（该部门负责监督朝鲜弹道导弹的开发、武器生产和研发项目）有关联，他们曾尝试在两家未具名的美国政府机构找到工作，但均以失败告终。不过，他们成功在多家财富 500 强公司获得工作，其中包括排名前五的大型电视网络、一家硅谷科技公司、一家航空航天和国防公司、一家美国汽车制造商、一家奢侈品零售店和一家美国标志性媒体和娱乐公司。 美国国务院称，查普曼帮助他们获取了 60 名美国公民的身份信息，并 “接收和托管 ”了雇主发送的笔记本电脑，目的是让这些朝鲜人看起来像是在美国工作。另外，他还帮助这些工作者远程连接到美国公司的电脑网络、处理工资支票，把钱洗白。 FBI 纽约分局助理局长吉姆-史密斯（Jim Smith）说，迪登科涉嫌在该计划中搭建了一些网站，用于欺诈和盗用美国人的身份。 美国国务院呼吁知道查普曼、 Jiho Han、Chunji Jin 和 Haoran Xu 信息的人提供线索，FBI 也发布了关于朝鲜 IT 人员的警报。 逃避制裁 去年，美国财政部宣布对四个实体实施制裁，这些实体雇用了数千名朝鲜 IT 员工，帮助非法资助朝鲜政权的导弹和大规模杀伤性武器项目。 财政部称，朝鲜在全球各地拥有大批 “高技能 ”IT 员工，这些年薪高达 30 万美元的人“故意混淆自己的身份、地点和国籍，通常使用假冒的角色、代理账户、盗用的身份以及伪造或假冒的文件”来申请工作。 财政部负责恐怖主义和金融情报的副部长布莱恩-纳尔逊（Brian Nelson）指出，朝鲜“广泛的非法网络和 IT 工人活动”有助于“为该政权的非法大规模杀伤性武器和弹道导弹计划提供资金”。 近年来，一些美国执法机构和国际组织对朝鲜 IT 工作者冒充其他国家公民获得工作的情况发出了警告。他们的职位要么用于为朝鲜政权筹集资金，要么用来渗透具有资金和信息获取权限的机构。   转自FreeBuf，原文链接：https://www.freebuf.com/news/401209.html 封面来源于网络，如有侵权请联系删除

最新研究显示，东南亚的在线诈骗活动持续增长，有组织的诈骗集团每年在全球范围内赚取的收入估计达 640 亿美元。 根据USIP东南亚跨国有组织犯罪高级研究小组发布的一份报告（东南亚的跨国犯罪：对全球和平与安全的日益严重的威胁），在柬埔寨、老挝和缅甸，犯罪团伙每年通过诈骗窃取约 438 亿美元，约占这三个国家正式 GDP 总和的 40%。 这些诈骗通常俗称“杀猪盘”，通过消息平台或约会应用程序联系潜在受害者。诈骗者试图发展关系并最终说服受害者进行欺诈性投资，这些投资被犯罪分子抽走。 USIP 缅甸主任贾森·塔尔 (Jason Tower) 在一次讨论这项研究的活动中表示：“在很短的时间内，这已经从一个主要针对该地区犯罪的区域性问题转变为一个全球性问题。” “而且它正在蔓延到其他国家……同一个犯罪分子开始利用与中东、非洲的新联系。” 研究人员指出，近几个月来，“针对非中国人和不会说普通话的受害者的攻击大幅增加”——这或许是对中国执法部门对该行业日益严格审查的回应。 研究人员称，去年此类诈骗在美国造成约 35 亿美元的损失，加拿大人估计损失 4.13 亿美元，马来西亚人损失超过 7.5 亿美元。 在整个东南亚，有组织的犯罪团伙已将数十万人贩运到戒备森严的院落中，他们被关押在那里，并在暴力威胁下被迫进行诈骗。 研究人员写道：“由于它们很大程度上依赖强迫劳动，这些设施常常带有刑罚机构的特征，有高墙和铁栅栏窗户、闭路电视、武装警卫和酷刑室。” 虽然诈骗复合体所在国家的动态有所不同，但政治腐败是导致有组织犯罪恶化的普遍因素。在柬埔寨，执政党内的一位著名参议员李勇发 (Ly Yong Phat) 拥有一家与“工业规模欺诈”有关的赌场和酒店综合体。 与此同时，在缅甸，军政府允许与政府结盟的民兵沿其与中国和泰国的边境开展大规模犯罪活动。 “这些大院通常是与当地有权有势的精英合作建立的，有时是在治理薄弱或严重腐败国家的城市中心，有时是在官方特区或监管不善的边境地区，在这些地区，执法和税收受到限制，从而造成实际上有罪不罚的现象。”研究人员在报告中写道。 中国最近对自己的公民被贩运到缅甸并成为诈骗目标感到非常厌倦，因此逮捕了一些高级肇事者，并允许缅甸叛乱分子击溃政府支持的民兵组织。 尽管如此，研究人员发现，犯罪活动似乎只是为了应对压力而进行了调整，诈骗基地转移到了缅甸和该地区的其他地方。 尽管国际社会对该问题的认识不断提高，但随着诈骗活动的增加，USIP 研究小组建议采取协调措施来遏制诈骗活动，例如对犯罪集团领导人实施制裁和旅行禁令；追究相关国家纵容诈骗活动的责任；并考虑对 Telegram 等允许团体“协助洗钱”或宣传诈骗资源的社交媒体平台进行惩罚。 美国国务院国际麻醉品与执法局副助理国务卿布兰登·约德周一承认，“这些诈骗活动构成的日益严重的威胁及其对美国人民的影响是国家安全的优先事项。” “从泰国到菲律宾，从越南到印度尼西亚，我们正在为合作伙伴政府提供他们所需的培训和设备支持，以侦查、威慑和调查犯罪。”他说。“这包括支持我们的合作伙伴采用先进的调查技术，这些技术不仅仅是逮捕低级犯罪分子，还包括调查和揭露他们背后的复杂网络。”   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/bE9jCZ9aAk2LXKOlzDRx_Q 封面来源于网络，如有侵权请联系删除