近年来，合成身份欺诈者以汽车贷款行业为最大目标，导致 2023 年汽车贷款行业的欺诈尝试增加了 98%，损失高达 79 亿美元。Point Predictive 对 1.8 亿份贷款申请的研究发现，收入和就业信息不实、合成身份和信用洗白几乎占汽车贷款机构面临风险的 75%。 这些不实际的情况通常与第一方欺诈有关，涉及借款人实施欺诈，而非第三方骗子。报告称，虽然身份盗窃占 2023 年所有风险的 14%，但它只占汽车行业贷款人所面临的总体挑战的一小部分。 随着越来越多的贷款机构和经销商将申请流程转移到网上，他们面临的风险可能影响到了线上商家，包括虚假身份、欺诈服务和可以同时申请多项贷款的申请机器人。其他挑战还包括复杂的信用修复计划的扩散，如预制信用隐私号码（或 CPN）、信用洗白、虚构雇主和出售虚假交易线的行为。 合成身份证和信用洗白 研究显示，合成身份欺诈率稳步上升。到 2023 年第四季度，平均合成身份尝试率上升到 83 个基点，表明每 120 份汽车贷款申请中就有 1 份提交了虚构的信用档案。导致合成档案激增的多重因素包括：被盗身份的使用日益增多、合成身份欺诈从其他行业转移到更具吸引力的汽车金融领域，以及向消费者出售 CPN 的情况增多。 需要注意的是，越来越多的数据泄露事件针对保险、医疗和政府部门，但这些泄露的数据也会被用在其他行业。汽车欺诈的新趋势源于人们追求高额信用额度的诱惑，以及通过在线方式轻松获取汽车贷款而无需亲自去经销商那里。 同时，一些信用修复公司洗白信用的做法也很普遍。所谓 “信用洗白”，就是有计划地对信用报告中的所有负面记录提出异议，不是说这些记录有错误，而是宣称这些负面记录是身份盗窃造成的。信用修复公司会告诉消费者向联邦贸易委员会提交一份虚假文件，并利用这些文件来否认所有负面记录，声称自己是身份盗窃的受害者。 长期存在的虚假雇主问题 汽车贷款行业中的欺诈活动并非都涉及合成身份欺诈等复杂方案。通常情况下，借款人会夸大自己的收入或虚报自己的财务状况，以增加获得贷款的机会。有些欺诈者还会利用空壳公司制造虚假的就业证明。报告指出，在该行业中流通的虚假公司超过 1.1 万家。虽然看起来无害，但有 40% 的贷款是通过虚假雇主获得的，最终导致借款人无意还款而被追偿。 报告还强调，欺诈即服务平台让人们很容易地接触到虚假雇主，从而购买到虚假的就业证明。这些平台提供伪造的工资单、运营专门的网站并提供电话支持，以假乱真地确认就业情况。 暗网趋势 Telegram 帮助人们以低至 150 美元的价格轻松获得欺诈即服务功能。报告还指出了一种名为“预制 CPNs ”的新服务，对于在地下渠道中运作的骗子和合成身份盗窃者来说，这已经被证明是一个赚钱的大门路。只要支付一定的费用，个人就能获得诈骗团伙的服务，以虚假借口获得贷款。 在过去一年中，Telegram 上的广告数量大幅增加。预制 CPNs 是模板式的虚假信用档案，已经创建并存放了三年。预制 CPNs 与标准 CPNs 的区别在于，预制 CPNs 通常使用通用名称创建，并被允许存放，使它们成为绕过汽车贷款机构合成身份检测系统的理想选择。报告指出，标准 CPNs 的售价为 80 至 100 美元，而预制 CPNs 在 Telegram 频道上的售价为 750 美元或更高。   转自Freebuf，原文链接：https://www.freebuf.com/news/400750.html 封面来源于网络，如有侵权请联系删除 

近日，Proofpoint 的安全分析师发现一个专门从事商业电子邮件泄露（BEC）攻击的黑客团伙 TA4903 ，该组织一直在冒充美国政府机构，诱使受害者打开带有虚假投标流程链接的恶意文件。 Proofpoint 观察到的数据显示，威胁攻击者已经假冒了美国交通部、美国农业部 (USDA) 和美国小企业管理局 (SBA)等多个美国机构。 据信，黑客团伙 TA4903 至少从 2019 年起就开始活跃在互联上，2023 年年中到 2024 年期间又增加了活动频次。网络安全研究人员观察到 TA4903 使用的最新手段是在 PDF 文档附件上”附着“二维码。 虚假竞标电话 PDF 这些 PDF 使用统一风格，具有相同的元数据（包括指向尼日利亚血统的作者姓名），一旦受害者扫描二维码，就会立刻被重定向到仿冒美国政府机构的官方门户网站上。 冒充美国农业部的钓鱼网站 跟随钓鱼邮件中的”诱饵“，收件人可能会被”引诱“到 O365 登录页面，并要求其输入登录凭据。值得一提的是，TA4903 黑客团伙曾依靠 “EvilProxy “绕过多因素身份验证 (MFA) 保护，但 Proofpoint 表示近期没有观察到其使用反向代理。 Proofpoint 表示黑客团伙 TA4903 的攻击活动纯粹是出于经济动机，主要采用了以下策略： 未经授权访问企业网络或电子邮件账户； 在被入侵的账户中搜索与银行信息、支付或商家相关的关键字，寻找金融欺诈的机会； 进行 BEC 攻击，例如从被入侵的电子邮件账户向其他员工或合作伙伴发送欺诈性付款或发票请求。 安全研究人员在 2023 年年中几个案例中发现，威胁攻击者试图诱骗财务部门的员工更新付款详情（这些信息是从目标合作组织的受损电子邮件帐户或与之非常相似的地址发送的） 网络攻击主题信息 TA4903 黑客组织出道以来，以美国多个组织为攻击目标，发起了大量电子邮件攻击，严重影响其网络环境安全稳定。近期，安全研究人员注意到 TA4903 组织从欺骗美国政府实体转向冒充小型企业，但目前还不清楚这种转变是暂时的还是长期的。   转自Freebuf，原文链接：https://www.freebuf.com/news/393709.html 封面来源于网络，如有侵权请联系删除

近日，一个名为“SubdoMailing”的大规模广告欺诈活动正在使用8000多个合法互联网域名和1.3万个子域名大量发送垃圾邮件，每天发送量高达500万封电子邮件，用于诈骗和恶意广告盈利。 域名遭到劫持的企业中不乏知名品牌，例如MSN、VMware、McAfee、经济学人、康奈尔大学、哥伦比亚广播公司、NYC.gov、普华永道、培生、联合国儿童基金会、美国公民自由联盟、赛门铁克、Java.net、Marvel和易趣等。 从这些知名品牌的域名和子域名发送的恶意电子邮件可以绕过垃圾邮件过滤器。此外，不法分子还利用SPF和DKIM电子邮件策略来欺骗安全电子邮件网关，将这些电子邮件识别为合法邮件。 通过检测电子邮件元数据中的异常模式，Guardio Labs的研究人员Nati Tal和Oleg Zaytsev最终发现了这个大规模的子域劫持操作，并报告称该活动自2022年以来一直在进行。 对MSN域名错误授权垃圾邮件的案例研究显示，攻击者为使电子邮件看上去合法并逃检测和过滤，使用了多种攻击方法：包括滥用SPF（发件人策略框架）检查、DKIM（域名密钥识别邮件）和DMARC（域名基于消息认证、报告和一致性）协议。 SubdoMailing劫持域名发送垃圾邮件的组合策略 对信誉良好的企业的域名和子域名，SubdoMailing活动主要通过CNAME攻击和SPF记录利用这两种方法来实施域名劫持。 在CNAME攻击中，攻击者会扫描知名品牌的子域名，其中CNAME记录指向不再注册的外部域名。然后，他们通过NameCheap服务自行注册这些域名。 利用CNAME攻击劫持域名 在第二种方法——利用SPF记录的域名劫持攻击中，SPF记录的include选项用于从外部域名导入允许的电子邮件发件人，攻击者首先查看目标域名SPF记录中“include:”选项所指向的外部域名中是否存在注册过期的域名。 然后攻击者会注册SPF记录中失效的外部域名，更改其SPF记录以授权自己的恶意电子邮件服务器（使用被劫持的域名作为邮件地址）。这使得攻击者的电子邮件看起来合法地来自信誉良好的域名。 利用SPF记录劫持域名 Guardio Labs将此次大规模域名劫持活动归咎于一个代号“ResurrecAds”的威胁行为者，该行为者会系统性地扫描网络中可能被劫持的域名，并有针对性的购买域名。 威胁行为者不断更新这个由被劫持域名、SMTP服务器和IP地址组成的庞大网络，以维持垃圾邮件活动的规模和复杂性。Guardio Labs表示，SubdoMailing使用了近2.2万个独立IP，其中1000个似乎来自家庭网络。 SubdoMailing的运营规模与分布 目前，SubdoMailing大规模垃圾邮件活动通过全球分布的SMTP服务器进行运作，这些服务器通过由8000个域名和1.3万个子域名组成的庞大网络每日发送超过500万封欺诈电子邮件。 为了方便企业自查域名是否被劫持，Guardio Labs开发了一个SubdoMailing检查网站。   转自GoUpSec，原文链接：https://www.secrss.com/articles/64023 封面来源于网络，如有侵权请联系删除

国际网络安全公司Group-IB 报告了现已解散的 Inferno Drainer 组织的活动，该组织在 2022 年至 2023 年间创建了超过 16000 个欺诈域名。 攻击者采用高质量的网络钓鱼页面，诱使用户将他们的加密货币钱包连接到欺诈者的基础设施。此攻击利用虚假的Web3协议，欺骗受害者授权交易。 Inferno Drainer 在 2022 年 11 月至 2023 年 11 月期间活跃，通过欺诈手段影响了超过 137,000 名受害者，非法获得逾 8700 万美元。此恶意软件包是通过 Drainer 即服务 ( DaaS ) 模型提供的各种类似产品中的一部分，并收取附属公司收入 20% 的版税。 Inferno Drainer的用户可以将恶意软件上传至他们的网络钓鱼网站，或者利用开发人员创建和托管此类网站，有时只获得被盗资产的30%。 通过对500个恶意域的分析发现，基于JavaScript的恶意软件最初是托管在GitHub上，然后直接集成到网站中。这些网站随后通过Discord、X *等平台传播，向受害者提供免费代币（称为“空投”），并连接到他们的钱包。之后，当交易获得批准时，资产就会被窃取。 最近，诈骗者正在利用这些免费代币引诱信息安全公司Mandiant的订阅者。该公司的个人资料在1月初遭到黑客攻击，并被攻击者用于谋取私利。 预计黑客官方账户的尝试将增加，因为声称来自权威人士的消息可能会激发信心，引诱受害者点击链接，从而将他们的积蓄交给攻击者。 在攻击中，诈骗者使用“seapport.js”、“coinbase.js”和“wallet-connect.js”等脚本名称来伪装成流行的 Web3 协议Seaport、Coinbase和WalletConnect，以进行未经授权的交易。 Group-IB 分析师指出，Inferno Drainer 网络钓鱼网站的一个典型特征是无法使用热键或右键单击打开网站的源代码。这表明犯罪分子试图向受害者隐藏他们的脚本和非法活动。 Group-IB 还表明，Inferno Drainer 的成功可能会引发新的 Drainer 的创建，并增加带有模仿 Web3 协议的欺诈性脚本的网站数量。 专家还强调，尽管 Inferno Drainer 活动已经停止，但这种恶意操作的影响给加密货币所有者带来了严重风险，因为此类攻击方法只会不断改进。   转自安全客，原文链接：https://www.anquanke.com/post/id/292687 封面来源于网络，如有侵权请联系删除

据报道，有消息人士向乌克兰媒体透露，与乌克兰安全局 (SBU) 有联系的 Blackjack 网络组织本周发起了一次网络攻击，他们声称能够“摧毁”莫斯科互联网服务提供商 M9 Telecom 的服务器。 该 ISP 的网站于 1 月 9 日上线。 不愿透露姓名的消息人士告诉乌克兰国营媒体 Ukrinform，这次网络行动是为了报复俄罗斯支持的12 月 12 日对 Kyivstar移动电话运营商的入侵，该事件导致乌克兰各地的通信中断。消息人士补充说，M9 Telecom 网络攻击只是“为 Kyivstar 进行更严厉的报复”的“热身”。 Blackjack 网络组织同样声称对 12 月底莫斯科 Rosvodokanal 自来水公司的入侵事件负责，该组织声称在 SBU 的帮助下成功完成了这次事件。 本月早些时候，SBU 网络负责人 Illia Vitiuk 警告称，俄罗斯对现代私营公司 Kyivstar 的入侵向西方国家发出信号：没有什么是俄罗斯网络威胁无法触及的。   转自安全客，原文链接：https://www.anquanke.com/post/id/292524 封面来源于网络，如有侵权请联系删除

Fortinet 的安全研究人员发现了 一种针对德国用户的新网络钓鱼活动，该活动正在大规模传播 MrAnon Stealer 恶意软件。 FortiGuard Labs 的 研究员 Kara Lin解释说，MrAnon Stealer 是一个基于Python 的信息窃取程序，使用 cx-Freeze 进行压缩以绕过检测。该程序窃取凭证、系统信息、拦截浏览器会话和来自加密货币扩展的数据。 专家收到的信息表明，截至 2023 年 11 月，此次攻击的主要目标是德国。网络钓鱼电子邮件将自己伪装成酒店房间预订请求，打开后，所附的PDF文件会提示收件人下载据称是更新版本的Flash Player 。 同意后会下载并运行.NET可执行文件和PowerShell脚本，最终启动 MrAnon Stealer，它从各种应用程序收集数据并将其传输给攻击者。 恶意软件还可以拦截来自即时通讯工具和VPN客户端的信息，并上传带有某些扩展名的文件。对于此类功能，信息样式器的作者在网络犯罪论坛上公开分发该信息样式器，每月索要 500 美元。价格可能会有所不同，具体取决于客户选择的附加选项，例如隐藏的引导加载程序或加密器。 研究人员表示，该恶意活动最初于 7 月和 8 月传播 Cstealer 恶意软件，但随后于 10 月和 11 月传播 MrAnon Stealer。这展示了一种包括适应当前网络安全软件环境的战略方法。然而，恶意软件的分发渠道仍然相同：网络钓鱼电子邮件。   转自安全客，原文链接：https://www.anquanke.com/post/id/291902 封面来源于网络，如有侵权请联系删除

全球最大的巧克力和糖果制造商之一 好时公司（The Hershey Company ）最近遭遇网络攻击 。攻击者利用 9 月初直接发送给公司员工的网络钓鱼电子邮件。 由于在员工计算机上安装恶意软件的简单操作，2,214 人的个人数据被盗。被盗信息包括员工的名字和姓氏、出生日期、居住地址、驾驶执照号码和健康保险信息。攻击者还获得了财务信息，包括银行卡号和安全码。 公司发现黑客行为后，立即采取紧急措施阻止黑客访问。第三方网络安全专家被聘请调查该事件并分析后果。 该公司在一份官方声明中表示：“我们没有理由相信被盗数据被以任何方式使用 。 ” “但是，我们理解员工和客户的担忧，并致以诚挚的歉意。” 作为对所有受数据泄露影响的人的补偿，好时公司提供了为期两年的免费信用历史监控服务订阅 。不幸的是，巧克力并不包含在补偿方案中。 好时事件是九月份一系列备受瞩目的黑客事件的一部分，例如拉斯维加斯赌场巨头凯撒娱乐公司和米高梅度假村遭受网络入侵和勒索软件勒索的攻击。 好时管理层向公众保证，事件发生后，已采取一系列措施加强网络保护。特别是，所有员工都被指派更改密码，并对企业电子邮件监控系统进行升级，以更有效地识别威胁。 专家表示，在新年假期前夕，我们预计网络钓鱼攻击将会出现更大幅度的激增。这个时候，很多人（包括大公司的员工）都放松下来，变得更加脆弱，这只会让黑客和骗子受益。   转自安全客，原文链接：https://www.anquanke.com/post/id/291715 封面来源于网络，如有侵权请联系删除

又一例勒索攻击严重扰乱医疗服务的案例，此次事件的特殊之处在于，美国CISA曾联系Ardent公司警告存在恶意活动，但此时为时已晚，该公司已经中招。 有消息称：由于遭受网络攻击，美国得克萨斯州东部地区多家医院在感恩节当天被迫转移救护车。这次网络攻击影响范围广泛，远超初期判断。医院代表表示，这次攻击还迫使新泽西州、新墨西哥州和俄克拉荷马州的医院转移救护车。 所有受影响医院都由Ardent健康服务公司全资或部分拥有。该公司总部位于田纳西州，在至少五个州拥有二十多家医院。 目前，部分医院无法接收救护车，包括新墨西哥州阿尔伯克基市中心一家拥有263张床位的医院、新泽西州蒙特克莱尔一家拥有365张床位的医院，以及得克萨斯州东部地区服务数千名患者的几家医院。 勒索软件严重扰乱医疗服务 勒索软件攻击曾在新冠疫情期间严重扰乱了医疗服务，本次网络攻击提供了新的例证。 本周一，Ardent健康服务公司发表声明，确认勒索软件攻击导致服务中断，并称其下属医院“在系统恢复在线之前，将部分急诊患者转移到其他地区医院”。医院也被迫重新安排非紧急手术日程。公司还表示，“下属医院、急诊室和诊所将继续提供安全有效的患者护理。” 一位在受影响的新泽西州医院工作的护士告诉CNN，当医院决定因黑客事件关闭网络时，工作人员赶紧“尽可能多地打印出患者信息”。因为医院不允许工作人员向记者透露情况，她选择匿名发言，“我们所有工作都在纸上进行。” 这位护士表示，由于不能使用计算机，只能依赖纸追踪患者化验等工作进度，“一切都慢了很多。我们每年都会进行几次这样的演练，但效果还是很差。” Chiara Marababol是受黑客攻击影响的两家新泽西州医院（山腰医疗中心和帕斯卡克谷医疗中心）的发言人。她表示，这些医院会继续为患者提供急诊护理。她在一封电子邮件中告诉CNN，“但是，在我们解决系统问题期间，我们要求当地急救系统暂时将需要紧急护理的患者转移到其他地区。” 美国联邦政府曾联系并警告 知情人士告诉CNN，在感恩节前一天（11月22日），美国联邦网络安全与基础设施安全局（CISA）官员联系了Ardent健康服务公司，警告该公司计算机系统受到恶意网络活动影响。 Ardent健康服务公司发言人Will Roberts确认，CISA官员曾与该公司联系，“他们提醒我们系统中存在可疑活动。” Will Roberts告诉CNN，但是，CISA发出警告之前，Ardent健康服务公司已经在11月20日检测到计算机系统出现“异常”，“我们已经聘请了更多外部网络安全人士展开调查”。感恩节当天，公司意识到他们遭受的是勒索软件攻击。 当被问及上述沟通情况，CISA发言人建议记者直接联系Ardent健康服务公司。 CISA于今年启动一项计划，意在警告关键行业的组织，如果他们不采取防御措施，就将面临勒索软件攻击的风险。向Ardent健康服务公司发出预警正是这一计划的一部分。CISA官员声称，这项计划挫败了多次勒索软件攻击。 Ardent健康服务公司遭遇黑客攻击造成了广泛的影响。这表明如果母公司或关键服务提供商受到网络攻击，会对医院等关键基础设施运营商产生连锁影响。 主要位于东欧或俄罗斯的网络犯罪分子在整个新冠疫情期间多次扰乱美国医疗组织，锁定计算机并索要赎金。许多黑客攻击针对的都是设备不足以应对威胁的小型健康诊所。 仅在过去九个月，其他网络攻击已经迫使康涅狄格州、佛罗里达州、爱达荷州和宾夕法尼亚州的医院转移救护车。 CISA专家在2021年的一项研究中发现，勒索软件攻击可能会阻碍患者护理，并让医院面临数周甚至数月的资源紧张。   转自安全内参，原文链接https://mp.weixin.qq.com/s/O3pDrhYsQ8t5-BQMBQwWsQ 封面来源于网络，如有侵权请联系删除

根据研究，Telekopye背后的运作人员被称为“尼安德特人”，他们将犯罪企业作为合法公司来运营，内部人员具有不同分工和等级。他们通过地下论坛上广告招募，邀请新成员加入指定的 Telegram 频道，该频道用于与其他成员沟通并跟踪交易日志。 该团伙行动的最终目标是进行卖家诈骗、买家诈骗或退款诈骗。 卖家诈骗：攻击者冒充卖家并诱骗用户购买不存在的商品。如果受害者表示有兴趣购买该物品，攻击者会引诱受害者进行在线支付，并向他们提供一个网络钓鱼网站链接，该链接显示为合法的支付门户。但该网站会索取受害者的银行凭证或信用卡详细信息。 买家诈骗：攻击者在该骗局中冒充买家，经过全面研究后瞄准受害者。他们表达了对某件商品的兴趣，并声称已通过所提供的平台付款。他们向受害者发送由 Telekopye Toolkit 创建的短信或电子邮件，其中包含网络钓鱼网站的链接。受害者被说服点击此链接以接收平台的付款，剩下的方法和卖家骗局类似。 退款诈骗：攻击者以提供退款为借口第二次欺骗买家，以骗取相同金额的资金。 研究人员指出，针对卖家的诈骗会考虑受害者的性别、年龄、在线市场的经验、评级、评论、已完成的交易数量以及他们所销售的商品类型，这表明准备阶段涉及广泛的市场调查。 此外，据观察，该团伙还使用 VPN、代理和 TOR 来保持匿名，同时还探索房地产诈骗，他们创建包含公寓列表的虚假网站，并通过点击指向网络钓鱼网站的链接来诱骗受害者支付预订费。 总部位于新加坡的网络安全公司 Group-IB 此前告诉The Hacker News，被追踪的 Telekopye 活动与Classiscam相同，后者作为一种诈骗即服务，自2019年出现以来已为犯罪分子带来了 6450 万美元的非法利润。   转自Freebuf，原文链接：https://www.freebuf.com/news/384896.html 封面来源于网络，如有侵权请联系删除

俄罗斯政府和工业部门机构已成为 卡巴斯基实验室发现的大规模网络攻击的受害者 。攻击者使用附有恶意存档的网络钓鱼电子邮件，在受感染的设备上启动了新的后门。攻击的目标是窃取屏幕截图、文档、浏览器密码和剪贴板信息等数据。 这次攻击从 2023 年 6 月开始，一直持续到 8 月中旬。攻击者模仿监管机构的官方信息发送信件，其中包含 PDF 格式的虚假文档和恶意存档。如果受害者打开存档，[NSIS].nsi 脚本就会在他们的设备上启动，该脚本会在隐藏窗口中安装后门。同时，下载恶意软件的网站名称模仿了官方部门的网站。 启动后，恶意软件会检查互联网访问并尝试连接到合法的网络资源（外国媒体）。然后，它会检查受感染设备是否有可以检测其存在的软件和工具，例如沙箱或虚拟环境。如果至少有一个，后门就会停止活动。当所有检查都通过后，恶意软件会连接到攻击者的服务器并加载模块，使其能够从剪贴板窃取信息、截取屏幕截图并在流行扩展名中查找用户文档（例如 doc、.docx、.pdf、. xls、.xlsx）。所有数据均传输至控制服务器。 8月中旬，攻击者更新了他们的后门，添加了一个用于从浏览器窃取密码的新模块，并增加了对环境的检查次数。感染链保持不变。其中的差异在于，攻击者通过访问合法的网络资源取消了对互联网访问的检查：现在恶意程序立即连接到控制服务器。该恶意软件还添加了一个模块，允许其从浏览器窃取密码。此外，对环境中是否存在可检测恶意活动的工具的检查次数也有所增加。   转自安全客，原文链接：https://www.anquanke.com/post/id/290980 封面来源于网络，如有侵权请联系删除