ESET 研究人员发现了一种罕见的网络钓鱼活动，专门针对 Android 和 iPhone 用户。他们分析了一个在野外观察到的案例，该案例主要是针对一家著名的捷克银行的客户。 值得注意的是这种攻击主要是从第三方网站安装钓鱼应用程序，而无需用户主动安装。这有可能导致使用安卓系统的用户设备上会被隐秘安装一种特殊的 APK，隐蔽性很高，很难发现，它看起来甚至有点像是用户从 Google Play 商店安装的。这种钓鱼攻击威胁也针对 iOS 用户。 PWA 网络钓鱼流程 针对 iOS 的钓鱼网站会指示受害者在主屏幕上添加渐进式网络应用程序 (PWA)，而在 Android 上，PWA 是在浏览器中确认自定义弹出窗口后安装的。在这一点上，这些钓鱼应用程序与它们在这两个操作系统上模仿的真实银行应用程序基本没有区别。 PWA 本质上是将网站捆绑到一个看似独立的应用程序中，并通过使用本地系统提示增强了其虚假的独立性。与网站一样，PWA 也是跨平台的，这就解释了为什么这些 PWA 网络钓鱼活动可以既针对 iOS 又针对 Android 用户。负责 ESET 品牌情报服务的 ESET 分析师在捷克观察到了这种新技术，该服务可监控针对客户品牌的威胁。 分析该威胁的 ESET 研究员 Jakub Osmani 表示：对于 iPhone 用户来说，这种行为可能会打破任何有关安全的‘围墙花园’假设。 ESET 发现使用电话、短信和恶意广告的网络钓鱼欺诈行为 ESET 分析师发现了一系列针对移动用户的网络钓鱼活动，这些活动分别使用了三种不同的 URL 发送机制，包括自动语音呼叫、短信和社交媒体恶意广告。语音电话发送是通过自动呼叫完成的，该呼叫会警告用户银行应用程序已过期，并要求用户在数字键盘上选择一个选项。 按下正确的按钮后，就会通过短信发送一个钓鱼网址，正如一条推文所报道的那样。最初的短信发送是通过向捷克电话号码滥发信息来实现的。发送的信息包括一个钓鱼链接和文本，目的是让受害者通过社交工程访问该链接。恶意活动通过 Instagram 和 Facebook 等 Meta 平台上的注册广告进行传播。这些广告包括行动号召，比如为 “下载以下更新 ”的用户提供限量优惠。 打开第一阶段发送的 URL 后，Android 受害者会看到两个截然不同的活动，一个是模仿目标银行应用程序官方 Google Play 商店页面的高质量钓鱼页面，另一个是该应用程序的山寨网站。受害者会被要求安装 “新版 ”银行应用程序。 WebAPK 绕过安全警告 这种网络钓鱼活动和方法之所以能够得逞，完全得益于渐进式网络应用程序的技术。简而言之，渐进式网络应用程序是使用传统网络应用程序技术构建的应用程序，可以在多个平台和设备上运行。 WebAPK 可被视为渐进式网络应用程序的升级版，因为 Chrome 浏览器会从 PWA（即 APK）生成本地 Android 应用程序。这些 WebAPK 看起来就像普通的本地应用程序。此外，安装 WebAPK 不会产生任何 “从不可信来源安装 ”的提示警告。 某小组曾尝试通过 Telegram 官方 API 将所有输入信息记录到 Telegram 群组聊天中，而另一个小组则使用带有管理面板的传统命令与控制（C&C）服务器。 Osmani 表示：根据这些活动使用了两种不同的 C&C 基础设施这一事实，我们确定是两个不同的团伙在针对多家银行实施 PWA/WebAPK 网络钓鱼活动。大多数已知案例都发生在捷克，只有两个网络钓鱼应用程序出现在捷克境外（特别是匈牙利和格鲁吉亚）。 ESET 的研究人员在调查中发现的所有披露在网上的敏感信息，银行都已迅速跟进处理。ESET 方面也协助删除了多个网络钓鱼域和 C&C 服务器。   转自FreeBuf，原文链接：https://www.freebuf.com/news/409102.html 封面来源于网络，如有侵权请联系删除

据观察，从 2024 年 7 月下旬开始，伊朗黑客组织策划了针对著名犹太人物的鱼叉式网络钓鱼攻击活动，目的是部署一种名为 AnvilEcho 的新型情报收集工具。 企业安全公司 Proofpoint 以 TA453 命名跟踪该活动，该活动与更广泛的网络安全社区以 APT42（Mandiant）、Charming Kitten（CrowdStrike）、Damselfly（赛门铁克）、Mint Sandstorm（微软）和 Yellow Garuda（普华永道）等名称跟踪的活动重叠。 安全研究人员 Joshua Miller、Georgi Mladenov、Andrew Northern 和 Greg Lesnewich在一份报告中表示：“最初的互动试图引诱目标用户参与一封良性电子邮件，以建立对话和信任，然后点击后续的恶意链接。”随后补充道，“攻击链试图传播一个名为 BlackSmith 的新型恶意软件工具包，该工具包投放一个名为 AnvilEcho 的 PowerShell 木马。” 据评估，TA453 与伊朗伊斯兰革命卫队 (IRGC) 有关联，其开展有针对性的网络钓鱼活动，旨在支持该国的政治和军事目标。 谷歌旗下的 Mandiant 上周分享的报告显示，美国和以色列占 APT42 已知地理目标的约 60%，其次是伊朗和英国。 这些社会工程手段既持久又具有说服力，它们伪装成合法实体和记者，与潜在受害者展开对话，并随着时间的推移建立融洽关系，然后通过带有恶意软件的文档或虚假的凭证收集页面将受害者引入网络钓鱼陷阱。 谷歌表示：“APT42 会利用社会工程学诱饵吸引目标用户建立视频会议，然后链接到登录页面，提示目标用户登录并发送到网络钓鱼页面。另一个 APT42 活动模板是发送合法的 PDF 附件作为社会工程诱饵的一部分，以建立信任并鼓励目标参与 Signal、Telegram 或 WhatsApp 等其他平台。” Proofpoint 观察到的最新一组攻击始于 2024 年 7 月 22 日，其中攻击者联系一位未具名犹太人物的多个电子邮件地址，邀请他们作为播客嘉宾，同时冒充战争研究所 (ISW) 的研究主任。 据称，TA453 回应目标发来的消息时，发送了一个受密码保护的 DocSend URL，该 URL 又指向一个文本文件，其中包含指向 ISW 托管的合法播客的 URL。这些虚假消息是从域名 Understandingthewar[.]org 发送的，这显然是试图模仿ISW 的网站（“Understandingwar[.]org”）。 Proofpoint 表示：“TA453 很可能试图使目标点击链接和输入密码的行为正常化，以便目标在投放恶意软件时也会这样做。” 在后续消息中，发现攻击者使用一个 Google Drive URL 回复，该 URL 托管一个 ZIP 存档（“Podcast Plan-2024.zip”），而该存档又包含一个负责传递 BlackSmith 工具集的 Windows 快捷方式（LNK）文件。 AnvilEcho 是通过 BlackSmith 提供的，据称可能是 CharmPower、GorjolEcho、POWERSTAR 和 PowerLess 等PowerShell 植入程序的后继者。BlackSmith 还旨在显示诱饵文档作为分散注意力的机制。 值得注意的是，“BlackSmith”这个名字也与Volexity 今年早些时候详述的一个浏览器窃取组件重叠，该组件与在针对从事中东事务的知名人士的攻击中分发 BASICSTAR 的活动有关。 Proofpoint 表示：“AnvilEcho 是一款功能强大的 PowerShell 木马。AnvilEcho 的功能表明其重点是情报收集和泄露。” 其一些重要功能包括进行系统侦察、截屏、下载远程文件以及通过 FTP 和 Dropbox 上传敏感数据。 几天前，HarfangLab 披露了一种新的基于 Go 的恶意软件毒株，称为 Cyclops，该毒株可能是作为另一个 Charming Kitten 后门（代号为BellaCiao）的后续产品而开发的，这表明攻击者正在积极重组其武器库以应对公开披露。该恶意软件的早期样本可以追溯到 2023 年 12 月。 这家法国网络安全公司表示：“该恶意软件旨在将 REST API 反向隧道传输到其命令和控制 (C2) 服务器，以控制目标机器。它允许操作员运行任意命令，操纵目标的文件系统，并使用受感染的机器进入网络。” 据信，攻击者利用 Cyclops 攻击了黎巴嫩一家支持创新和创业的非营利组织以及阿富汗一家电信公司。目前尚不清楚攻击使用的确切入侵路线。 HarfangLab 表示：“Cyclops 恶意软件选择 Go 语言有几个含义。首先，这证实了这种语言在恶意软件开发人员中的流行度。其次，该样本的初始检测次数较低，这表明 Go 程序可能仍对安全解决方案构成挑战。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/HamLjCMDdSNf1hz53Mtzrw 封面来源于网络，如有侵权请联系删除

恶意行为者正在使用一种名为 Xeon Sender 的云攻击工具，通过滥用合法服务大规模开展短信钓鱼和垃圾邮件活动。 SentinelOne安全研究员亚Alex Delamotte在与《黑客新闻》分享的一份报告中提到：攻击者可以利用Xeon通过多个软件即服务（SaaS）提供商，使用服务提供商的有效凭证发送信息。 据悉，用于大规模分发短信的服务包括亚马逊通知服务（SNS）、Nexmo、Plivo、Proovl、Send99、Telesign、Telnyx、TextBelt 和 Twilio。 值得注意的是，该活动并没有利用这些提供商的任何固有弱点，而是使用合法的 API 进行垃圾短信群发攻击。还引用了 SNS Sender 等工具，这些工具越来越多地成为批量发送钓鱼信息并最终获取目标敏感信息的途径。 其主要是通过 Telegram 和黑客论坛传播，其中一个旧版本归功于一个专门宣传破解黑客工具的 Telegram 频道。最新版本以 ZIP 文件形式提供下载，归功于一个名为 Orion Toolxhub的 Telegram 频道，该频道有 200 名成员。 Orion Toolxhub 创建于 2023 年 2 月 1 日，免费为成员提供可用于暴力破解攻击、IP 地址反向查询的软件，如 WordPress 网站扫描器、PHP web shell、比特币剪切器，以及一个名为 YonixSMS 的程序，该程序声称可提供无限短信发送功能。 Xeon Sender 也被称为 XeonV5 和 SVG Sender。这个基于 Python 的程序的早期版本最早在 2022 年被检测到。 Delamotte 表示：该工具的另一个化身是托管在带有图形用户界面的网络服务器上。这种托管方式消除了潜在的访问障碍，使那些可能不擅长运行 Python 工具并对其依赖关系进行故障排除的技术水平较低的攻击者也能使用。 无论使用哪种变体，Xeon Sender 都为用户提供了一个命令行界面，可用于与所选服务提供商的后台 API 通信，并协调垃圾短信群发攻击。 这也意味着威胁分子已经掌握了访问端点所需的 API 密钥。精心制作的 API 请求还包括发件人 ID、信息内容以及从文本文件中的预定义列表中选择的电话号码之一。 除了短信发送方法外，Xeon Sender还具有验证Nexmo和Twilio账户凭证、为给定的国家代码和地区代码生成电话号码以及检查所提供的电话号码是否有效等功能。 SentinelOne 表示，尽管该工具缺乏精细度，但源代码中充满了单个字母或字母加数字等模棱两可的变量，使调试工作更具挑战性。 Xeon Sender 主要使用供应商特定的 Python 库来制作 API 请求，这给检测带来了更大的挑战。因为每个库都是独一无二的，提供商的日志也是如此，团队可能很难检测到对特定服务的滥用行为。 因此，为了抵御 Xeon Sender 这样的威胁，企业应该监控与评估或修改短信发送权限相关的活动，或对分发列表的异常更改，如大量上传新的收件人电话号码。   转自FreeBuf，原文链接：https://www.freebuf.com/news/409012.html 封面来源于网络，如有侵权请联系删除

根据安全研究人员的最新调查，俄罗斯国家安全机构正在针对美国、欧洲和俄罗斯的民间社会成员发起越来越复杂的网络钓鱼攻击，在某些情况下，他们会冒充与攻击目标有私人关系的个人。 在多伦多大学公民实验室和Access Now发布了新报告，研究人员表示，与俄罗斯有关的攻击在社会工程策略和技术方面都变得更加复杂。 最近一系列袭击事件的目标包括前美国驻乌克兰大使史蒂芬·皮弗 (Steven Pifer)和流亡的俄罗斯出版商波琳娜·马克霍德 (Polina Machold)。 就皮弗的案例而言，研究人员表示，他之所以成为攻击目标，是因为有人与皮弗进行了一次“高度可信”的交流，其中有人冒充了皮弗认识的另一位前美国大使。 Machold 的案件同样采用了更为复杂的攻击方法。这位出版商于 2021 年夏天被俄罗斯驱逐出境后居住在德国，2023 年 11 月，她之前曾与另一家出版商的一位同事通过电子邮件首次联系了她。他让她查看附件，但没有附件。她回答说附件不见了。 几个月后，他再次联系她，这次使用的是 Proton Mail 的用户名，Proton Mail 是一种免费且安全的电子邮件服务，记者经常使用。她说，当她打开那封电子邮件，发现附件看起来像是 Proton Mail 驱动器时，她开始感到警觉。她打电话给联系人，对方震惊地表示，他没有给她发电子邮件。 “我以前从未见过这样的事情。他们知道我和这个人有联系。尽管我认为自己处于高度警惕状态，但我却一无所知。”Machold说。 研究人员表示，针对 Machold 和 Pifer 的网络钓鱼活动是由一个名为 Coldriver 的攻击者实施的。第二个攻击者名为 Coldwastrel，其攻击模式类似，而且似乎也专注于俄罗斯感兴趣的目标。 Access Now 高级技术法律顾问 Natalia Krapiva 表示：“这项调查显示，流亡的俄罗斯独立媒体和人权组织面临着与针对现任和前任美国官员的同类高级网络钓鱼攻击。但他们保护自己的资源要少得多，而且受到攻击的风险要大得多。” 几乎所有接受研究人员采访的目标人物都出于自身安全考虑选择匿名，研究人员表示，大多数目标人物的共同点是他们“在敏感社区中拥有广泛的人脉”。 观察到的最常见策略是攻击者与目标发起电子邮件交流，伪装成目标认识的人；要求目标查看文档。附加的 PDF 通常声称使用 Proton Drive 等注重隐私的服务进行加密，登录页面甚至可能预先填充目标的电子邮件地址，使其看起来合法。如果目标输入密码和双因素代码，攻击者就可以将信息发回给他们，从而让他们能够访问目标的电子邮件帐户。 “一旦这些攻击者获得凭证，我们认为他们会立即采取行动，访问电子邮件帐户和任何在线存储，如 Google Drive，以获取尽可能多的敏感信息。”公民实验室高级研究员 Rebekah Brown 表示。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/bprMEnkE-dZYdLRSmdn7wg 封面来源于网络，如有侵权请联系删除

网络安全专家最近的研究揭示了 Microsoft 365 的反网络钓鱼机制中存在的一个漏洞，该漏洞可以通过 CSS 技术进行利用。这一漏洞使攻击者能够绕过安全警报，从而引发了对 Microsoft 网络钓鱼防御系统稳健性的广泛关注。 Microsoft 365（前称 Office 365）采用了多种反网络钓鱼措施以保护用户，其中之一是“首次接触安全提示”。当用户收到来自不熟悉地址的电子邮件时，此提示会提醒用户并通常附加在 HTML 电子邮件的正文之前，以提示潜在的风险。 然而，Certitude 的研究人员 William Moody 和 Wolfgang Ettlinger 证明，通过 CSS 可以有效隐藏这一安全提示。他们通过将背景和字体颜色更改为白色，使警报对接收者不可见，从而使其原本预期的保护功能失效。 为了展示这一漏洞，Certitude 制作了一封概念验证电子邮件，通过特定的 CSS 规则成功隐藏了安全提示。尽管由于 Outlook 渲染引擎的限制，常见的 CSS 策略如调整显示设置或高度和不透明度未能奏效，但更改颜色属性的策略被证实有效。这种方法可以确保提示存在但不可见，从而误导用户，增加网络钓鱼攻击成功的可能性。 此外，研究人员还扩展了他们的发现，展示了攻击者如何在 Microsoft Outlook 中伪造加密和签名的电子邮件图标。通过使用 Unicode 字符和特定的 CSS 规则，他们演示了如何令人信服地模仿这些图标。虽然警觉的用户可能会注意到细微的格式差异，但不够细心的用户可能会被欺骗，从而可能危及组织的安全。 发现该问题后，Certitude 通过 Microsoft 的研究人员门户负责任地向 Microsoft 披露了这一漏洞。尽管 Microsoft 认可了调查结果的有效性，但决定不立即修复此问题，理由是它主要涉及网络钓鱼攻击。然而，Microsoft 已将这一调查结果标记为未来审查的参考，以便对其产品进行改进。   消息来源：infosecurity magazine，译者：YY；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

据网络安全公司Barracuda近期的一项研究报告，一些攻击者正滥用电子邮件安全服务隐藏恶意链接并传播钓鱼邮件，到目前为止这些攻击已针对至少数百家公司。 这些攻击主要利用了电子邮件安全网关中的URL保护功能，该功能能够检查链接是否指向已知的网络钓鱼或恶意软件网站，并根据结果阻止对该链接的访问或将请求重定向到最终目的地，以此来保护用户免受钓鱼或恶意软件威胁。 从2024 年 5 月中旬开始，Barracuda观察到网络钓鱼攻击利用三种不同的 URL 保护服务来掩盖他们的网络钓鱼链接，且提供这些保护服务的都是信誉良好的合法品牌。 目前还不清楚这些攻击者是如何生成指向其虚假网站的重写 URL， 不过，研究人员推测，他们很可能入侵了企业内部使用这些服务的电子邮件账户，向这些被入侵的账户发送电子邮件（或从这些账户发出电子邮件），以强制重写URL。 随后，只需从生成的电子邮件信息中获取重写的URL，并重复使用来制作新的网络钓鱼电子邮件即可。 在目标域被标记为恶意域之前，这些 URL 将在多个用户的点击中无限期地发挥作用。 一些使用这种技术的钓鱼电子邮件可以伪装成微软的密码修改提醒或 DocuSign 的文档签名请求。 伪装成微软账户密码修改的钓鱼邮件 URL保护功能在实施过程中存在一些争议，最大的一项缺陷是该功能的黑名单制度，难以有效快速更新最新生成的网络钓鱼网站。因为攻击者已经擅长使用便宜的域名生成大量钓鱼URL，当某一个链接被标记为网络钓鱼网站时，可能已经产生了数百名受害者。 另一个缺陷在于该功能会破坏加密电子邮件签名，因为安全电子邮件网关会通过更改链接来修改原始电子邮件。 例如，微软为 Office 365 用户提供了名为 “安全链接 “的功能，在 Outlook 和 Teams 等应用程序中，收到的电子邮件和信息中的链接会被重写为 na01.safelinks.protection.outlook.com/?url=[original_URL]，这一方式过去曾受到安全公司的批评，因为它实际上没有执行动态扫描，且很容易被基于 IP 的流量重定向绕过，或者被使用来自合法和可信域的开放重定向 URL 绕过。 目前，传统的电子邮件安全工具可能很难检测到这些攻击，最有效的防御是通过多层级安全的方法，全面检测和阻止异常或意外活动。   转自FreeBuf，原文链接：https://www.freebuf.com/news/406740.html 封面来源于网络，如有侵权请联系删除

钓鱼攻击一直是企业和个人用户面临的主要威胁之一。为了应对这种威胁，许多电子邮件安全服务引入了URL重写（保护）技术，通过声誉过滤器阻止用户访问已知钓鱼网站。然而，近期的一些钓鱼活动却利用这种保护技术来实施攻击。 安全公司Barracuda Networks最新报告显示：“从2024年5月中旬开始，网络钓鱼攻击者开始利用三种不同的URL重写服务来掩盖钓鱼网站URL。这些URL重写服务由值得信赖的合法品牌提供。到目前为止，此类滥用URL重写服务攻击已经攻击了数百家甚至更多的公司。” URL重写服务的工作原理 URL重写服务是电子邮件安全供应商在安全邮件网关和云邮件服务中广泛使用的一种对电子邮件中的链接进行即时声誉检查的工具，通过重写传入或传出电子邮件中的链接，使其指向由安全受控的域名和服务。当用户点击重写的链接时，服务器会检查该链接是否指向已知的钓鱼或恶意软件网站，并根据检查结果决定是阻止访问还是重定向到安全网址。这种方法的好处在于，如果一个网站在稍后被标记为恶意，所有指向它的重写链接都将停止工作，从而为所有用户提供保护。 URL重写的技术缺陷与挑战 尽管URL重写服务在理论上具有保护作用，但其实际效果却存在争议。首先，这种方法会破坏加密电子邮件签名，因为安全电子邮件网关通过更改链接修改了原始电子邮件。其次，重写的链接掩盖了真实的目的地网址，这使得用户无法通过查看链接来识别钓鱼网站。例如，微软在其Office 365用户中提供了名为“安全链接”的功能，该功能会重写传入电子邮件和应用程序（如Outlook和Teams）中的链接。然而，这一功能过去曾被安全公司批评，原因包括不进行动态扫描或容易被基于IP的流量重定向绕过——微软的IP地址是公开的——或通过使用来自合法和受信任域名的开放重定向URL。 URL重写服务最大的缺点是，其链接声誉检查基于黑名单机制，而一个新钓鱼网站被添加到安全厂商的黑名单所需的时间各不相同。这可能需要几分钟、几小时或几天，取决于是否有人报告。一些安全厂商比其他厂商动作更快，攻击者也知道这一点。域名相当便宜，等到一个域名因托管钓鱼网站而被标记时，可能已经有数百名用户成为其受害者。 攻击者如何滥用URL重写服务 目前尚不清楚Barracuda观察到的钓鱼活动如何重写指向钓鱼网站的URL。研究人员推测，他们可能入侵了使用这些服务的企业内部电子邮件账户，然后向这些被入侵的帐户发送电子邮件或从这些被入侵的帐户发送电子邮件以强制进行URL重写。然后，攻击者只需从生成的电子邮件消息中获取重写的URL，用来制作新的钓鱼电子邮件。 一些使用URL重写技术的钓鱼电子邮件伪装成来自微软的密码更改提醒或来自DocuSign的文档签名请求。这些电子邮件包含被仿冒服务的典型品牌元素，包括使用重写链接将用户重定向的按钮。 面对滥用URL重写服务的钓鱼邮件攻击，Barracuda的研究人员强调，安全措施应与安全意识培训相结合，企业和个人用户应保持警惕，及时更新安全策略，以应对不断变化的网络威胁。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/Jpg4KqY6j3fkYeei4SFICQ 封面来源于网络，如有侵权请联系删除

ReliaQuest 发布了一份新报告，详细介绍了网络犯罪分子如何利用 ChatGPT 等合法服务和恶意 AI 工具来支持其行动。 该公司发现，这些工具有助于创建近乎完美的网络钓鱼电子邮件，经 ReliaQuest 分析师测试，成功率为 2.8%。 报告强调，攻击者正在使用诸如提示注入之类的技术绕过 AI 模型的安全过滤器。这些技术利用了 AI 模型过滤系统中的弱点，使攻击者能够生成有害内容，尽管存在内置限制。 最常见的提示注入类型之一称为“立即执行任何操作”(DAN) 提示，它使用复杂的语言、上下文漏洞和渐进式升级来操纵 AI 模型。 ReliaQuest 使用 ChatGPT 进行了实验，其中关于启动网络钓鱼活动的初始查询由于道德约束而被拒绝。但是，当使用 Nexus 提示提交相同的请求时，语言模型返回了一个基本的八步计划。该计划包括对目标公司的研究、域名注册和电子邮件创建。 使用其他语言模型（如 Mixtral-8x7B-T）的进一步实验生成了功能性 PowerShell 脚本，用于识别用户登录事件并跨端点部署文件。 报告还指出，网络犯罪分子经常在论坛上讨论 DAN 提示，他们在论坛上分享和测试操纵性语言条目。这些提示通常分发在 GitHub 和 Reddit 等开源平台上。论坛成员就各种提示的有效性交换反馈，并呼吁根据需要更换或改进它们。 ReliaQuest 在流行的英语网络犯罪平台 BreachForums 上观察到一名用户以 1,000 美元的价格出售 ChatGPT 过滤器绕过方法的概念验证代码（POC），声称已经可以绕过安全限制使用人工智能编写勒索软件。 WormGPT 和 FraudGPT 最初引起了人们的关注，但现在已经不复存在。取而代之的是，FlowGPT 已成为一项社区驱动的服务。ReliaQuest 使用 FlowGPT 选择 ChaosGPT 模型进行网络钓鱼实验。 ChaosGPT 模型的评分为 4.9 分（满分 5 分），受欢迎程度高达 340 万，当被问及俄语时，该模型用英语制作了一封引人注目的网络钓鱼电子邮件。输出结果语法正确，听起来就像是母语人士写的。在一项涉及 1,000 名未公开个人的测试中，2.8% 的人点击了邮件中包含的恶意链接。 深度伪造（人工制作或增强的音频或视频）的威胁也在增加。深度伪造很容易通过网络犯罪论坛上讨论的人工智能工具制作，即使是新手也能制作出逼真的语音和视频模仿。这类工具越来越多地被讨论为规避“了解你的客户”（KYC）流程的一种方法。网络犯罪分子分享教程并寻求熟练创作者的服务来促进这些欺诈活动。 ReliaQuest 的报告强调了网络犯罪手段日益复杂化，利用先进的人工智能工具和社区共享知识来升级其恶意活动。调查结果强调了这些发展对网络安全构成的持续威胁，需要持续警惕并采取先进的对策。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/35tkpiPecOvYaZZkty1MJA 封面来源于网络，如有侵权请联系删除

据BleepingComputer消息，一名澳大利亚男子被澳大利亚联邦警察（AFP）指控涉嫌在珀斯、墨尔本和阿德莱德的各种国内航班和机场，以伪造虚假WIFI的形式窃取他人的电子邮件或社交媒体凭证。 该男子42岁，通过便携式设备模仿航空公司及飞机上提供的官方WIFI名称建立虚假网络，当用户尝试连接时会被定向到虚假登录页面或强制门户网页，要求他们使用电子邮件地址、密码或其他凭证登录。 据法新社报道，警方在接到一家航空公司航班上出现可疑WIFI网络的报告后，于2024年4月展开调查，并于当月19日他准备乘飞机返回珀斯机场时将其逮捕，并现场从手提行李中查获了一个便携式无线接入设备、一台笔记本电脑和一部手机。 警方对查获的设备进行了分析，发现了数十个属于其他人的个人凭证以及欺诈性WiFi页面。这些凭证可用于访问更多个人信息，包括受害者的在线通信、存储的图像和视频以及银行账户信息。 2024年5月，警方正式对这名男子提出了指控，目前对该男子的的违法犯罪活动还在进一步调查中，该男子已于2024年6月28日在珀斯地方法院出庭，并面临多项指控： 未经授权破坏电子通信，最高可判处 10 年监禁； 拥有数据控制权，意图实施严重犯罪，最高可判处 3 年监禁； 未经授权访问或修改受限数据，最高可判处 2 年监禁； 以不正当手段获取或处理个人财务信息，最高可判处 5 年监禁； 持有身份信息意图犯罪，最高可判处 3 年监禁。 法新社西部司令部网络犯罪侦探督察安德里亚·科尔曼（Andrea Coleman）表示，此案是一个及时的警告，要谨慎登录任何公共WIFI网络，避免输入个人敏感信息。 他还建议在公共场合外出时关闭手机或其他电子设备上的WiFi，以防止设备自动连接到不安全的热点。   转自Freebuf，原文链接：https://www.freebuf.com/news/404900.html 封面来源于网络，如有侵权请联系删除

Resecurity 研究人员警告道，Smishing Triad 正在开展新活动，该组织已将其行动范围扩展到巴基斯坦。 Smishing Triad 最新的手段是以巴基斯坦邮政的名义通过 iMessage 或 SMS 向移动运营商的客户发送恶意信息，从而窃取客户的个人信息和财务信息。 攻击者在该网络钓鱼工具包中使用的代码和模板与此前 Smishing Triad 攻击事件中的代码和模板一致。Smishing Triad 曾对其他地区（包括美国、欧盟、阿联酋和沙特阿拉伯）网上银行、电子商务和支付系统客户发起多次攻击活动。 分析师估算，黑客的活动规模非常庞大，每天发送的信息量在5万至10万条之间。黑客通过利用从暗网窃取的数据库实现这一目标，这些数据库包括含电话号码在内的敏感个人数据。2024年上半年，巴基斯坦发生了多起数据泄露事件，导致公民的个人身份信息（PII）被泄露。这些泄露的信息随后被自动化工具大规模处理，用于包括发送垃圾短信在内的各种恶意欺诈目的。 Resecurity 观察到，多个主机被攻击者用于操作针对巴基斯坦邮政服务提供商的钓鱼工具包。这些攻击与2023年7月之前观察到的针对西班牙国有邮政服务提供商 Correos 的钓鱼活动有关。分析发现，多个域名映射到同一个IP地址23[.]231[.]48[.]129： ep-gov-pkw[.]cfd ep-gov-ppk[.]cyou ep-gov-ppk[.]icu correosytelegrafos-civ[.]icu correos-es[.]cn Smishing（短信网络钓鱼）攻击可能具有高度欺骗性，其目的是通过短信诱骗个人点击恶意链接泄露个人信息，从而破坏数字身份并窃取支付数据。   消息来源：securityaffairs，译者：lune；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文