HackerNews 编译，转载请注明出处： 你是否曾在工作时点击过钓鱼链接？如果有，那么你可能会犯下更多网络安全错误，而你的雇主应当采取“正确干预措施”。最新数据显示，仅一小部分员工造成了绝大多数的网络安全风险行为。 根据人力风险管理平台Living Security的报告，仅10%的员工将导致近四分之三（73%）的网络安全风险。该公司的数据来源于100多家企业和数亿用户事件。 Living Security首席执行官兼联合创始人阿什利·罗斯（Ashley Rose）在新闻稿中表示：“安全团队始终清楚人为因素在安全漏洞中的关键作用，但过去缺乏采取行动的可视化依据。网络安全已不仅是技术问题，更是行为问题。”世界经济论坛此前估计，95%的网络安全问题可追溯至人为失误。 Living Security详细说明，采用“正确干预措施”的企业可将高风险用户数量减少50%，并将高风险行为的持续时间缩短60%。该公司将其平台定位为风险评估和针对性培训工具，聚焦于教育与行为改进。报告中指出：“显然，2025年保护企业的关键在于管理人而不仅是系统。”建议通过数据驱动的行动计划来削减高风险用户群体。 关键发现： 极少数员工（超过1%）触发了其所在组织的大部分安全警报，这意味着不存在“通过改造或解雇单个人就能解决”人为风险问题的可能。 10%的员工将导致： 超过75%的数据丢失事件 超过65%的恶意软件威胁 超过50%的钓鱼邮件、身份验证及访问相关事件 由Cyentia Institute进行的该研究还发现，与普遍认知相反，远程和兼职员工的实际风险低于办公室员工。报告指出：“承包商和远程员工常被视为安全隐患，但其实际风险低于整体平均水平（灰色菱形标识）。就承包商而言，他们更警惕的表现可能源于诸如强制要求所有访问启用多因素认证（MFA），以及必须完成培训以维持有效状态等政策。”此外，五分之四的员工实际上对风险防控的贡献大于其引发的风险。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 自2025年3月起，针对俄罗斯组织的定向钓鱼攻击使用虚假合同主题电子邮件传播Batavia间谍软件，这是一种旨在窃取内部文件的新型恶意软件。该攻击自2024年7月以来持续进行，始于伪装成合同或附件的恶意.vbe文件链接。该恶意软件包含一个VBA脚本和两个可执行文件，卡巴斯基已将其检测为Trojan.Batavia变种。 卡巴斯基发布的报告指出：“自2025年3月初以来，我们的系统记录到俄罗斯各机构员工检测到的类似文件（例如договор-2025-5.vbe、приложение.vbe和dogovor.vbe，中文译注：合同、附件）数量有所增加。定向攻击始于以签订合同为借口发送包含恶意链接的诱饵邮件。” 点击钓鱼邮件中的链接会下载VBE脚本，该脚本收集系统信息并从攻击者的域名检索恶意软件文件(WebView.exe)。该脚本检查操作系统版本以决定如何执行有效载荷，并将数据发送到命令与控制(C2)服务器。攻击使用针对每封电子邮件定制的参数来管理感染阶段并规避检测。 在攻击链的第二阶段，WebView.exe恶意软件（用Delphi编写）下载并显示虚假合同，然后开始监视受感染的系统。它收集系统日志、办公文档，并定期截取屏幕截图发送到新的C2服务器。为避免重复上传，它会对每个文件进行哈希处理。同时下载新的恶意软件阶段(javav.exe)并设置启动快捷方式，以便在系统重启时继续感染过程。 在攻击链的最后阶段，恶意软件javav.exe（用C++编写）扩展攻击范围，针对更多文件类型（如图像、电子邮件、演示文稿、存档），使用更新的感染ID(2hc1-…)将其传输到C2服务器。它现在可以更改C2地址，并通过computerdefaults.exe实现UAC绕过来下载/执行新有效载荷(windowsmsg.exe)。与C2的通信采用加密传输，并通过文件哈希避免重复上传。据卡巴斯基称，此阶段引入灵活性和持久性以促进进一步恶意活动。 研究人员注意到Batavia间谍软件活动的受害者是俄罗斯工业企业。卡巴斯基遥测数据显示，数十家机构的超过100名用户收到了钓鱼邮件。 报告总结道：“值得注意的是，此次攻击的初始感染媒介是诱饵邮件。这凸显了常态化员工培训和提高企业网络安全实践意识的重要性。”        消息来源： securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 随着亚马逊Prime Day临近，各种优惠承诺令人期待，网络犯罪分子也如秃鹫般盘旋伺机而动。 今年的亚马逊Prime Day定于7月8日，当购物者们为折扣和优惠摩拳擦掌时，黑客们正忙于炮制虚假网站、钓鱼邮件和域名陷阱。大型购物节日往往潜藏着混乱的可能，而犯罪分子深知混乱有利可图。 仅在六月的头几周，Check Point的安全研究人员就发现了超过1,230个试图冒充亚马逊的新域名。其中约87%的域名充其量可疑，往坏了说则完全是恶意的。近1/81的这些域名包含了“Amazon Prime”字眼，旨在诱骗用户点击并泄露其登录凭证。 研究人员警告，骗子们正在发送看似亚马逊客服的钓鱼邮件，主题行涉及“退款错误”或“账户问题”。这些邮件经过精心设计，意在触发受害者的紧迫感。一旦点击链接，用户会被带到一个几可乱真的虚假亚马逊登录页面。结果不是更新了所需信息，而是将亚马逊凭证拱手送给了威胁行为者。 在此活动中观察到的一些欺诈网站示例： Amazon02atonline51[.]online amazon-2025[.]top 此类攻击一旦成功，可能导致未经授权的购物、身份盗用或礼品卡滥用。在黑色星期五、网络星期一或情人节前夕，也曾观察到类似的诈骗威胁激增，专家警告购物者需保持高度警惕。 如何在亚马逊Prime Day期间保证安全？ 警惕可疑网址：如果你要点击一个以 .top 或 .online 结尾、或者带有连字符和额外数字的链接，请停手。计划好购物，直接访问亚马逊官网或应用。如果使用浏览器，务必手动输入 amazon.com。 避免点击邮件链接：如果收到关于账户问题的紧急邮件，请新开标签页手动访问亚马逊。不要跟随骗子设下的数字陷阱。 检查锁标，但仍需验证：HTTPS 和挂锁图标有帮助，但虚假网站也能伪造这些。真正的关键点在于域名本身。如果它看起来可疑，那很可能就是钓鱼。 启用双重认证并使用强密码：在亚马逊上设置双重认证。同时，使用密码管理器，因为重复使用密码会大大增加被入侵的风险。 紧急=诈骗套路：如果信息尖叫着要你立即行动，请先深呼吸。骗子总是利用紧迫感设局。如果是真的，十分钟后它依然还在。 难以置信的优惠？那很可能就是骗局：如果某款iPhone在一个非亚马逊的随机网站上打85折，那是个陷阱。你唯一可能拆箱的只有后悔。 使用安全支付方式：虚拟卡、支付应用等任何提供额外保护的方式，都是在线购物的好选择。避免电汇或直接银行转账。       消息来源： Cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 人人都信任PDF——而这正是网络犯罪分子如此痴迷于它们的原因。 便携式文档格式（Portable Document Format），更常被称为PDF，每天被分发数百万次。从税务文件、简历到发票、数字手册或任何其他信息，都通过电子邮件以PDF附件的形式发送。 PDF简单、跨平台且普遍受信任。它们可以包含图像、可点击链接和看似官方的标识。这使它们成为攻击者想要混入其中的完美载体，也正是黑客们当前痴迷于它们的原因。 过去几个月，网络安全分析师观察到通过PDF文件发起的钓鱼攻击急剧增加。这些PDF被设计成模仿科技巨头和服务提供商的合法通信，以诱骗受害者泄露凭证或下载恶意软件。 根据思科Talos的洞察，在2025年5月5日至6月5日期间，使用PDF附件进行品牌冒充的行为激增。被冒充最多的品牌是微软（Microsoft）和DocuSign。而NortonLifeLock、PayPal和Geek Squad则属于包含PDF附件的电话导向攻击（TOAD）邮件中最常被冒充的品牌之列。 这些钓鱼活动是全球性的，许多源自美国和欧洲的IP地址。 攻击者如何利用PDF？ 最近的一次攻击冒充了微软，使用了诸如“薪资调整”之类的诱饵主题行，时间点特意选在各组织可能发生晋升或绩效变动的时期。 该PDF看起来像一份标准的人力资源文件，足以让受害者相信并扫描其中的二维码，该二维码会将他们重定向到一个窃取凭证的网站。Dropbox也常被用作分发恶意PDF的平台。 然后是电话导向攻击（TOAD）。这些钓鱼PDF的目的不是让受害者简单地点击链接——而是通过电话对他们进行钓鱼。骗子通常会发送关于账单错误、可疑活动或订阅续费的信息，并包含一个“客服”电话号码。 这些邮件诈骗中使用的大多数电话号码是网络电话（VoIP）号码，追踪到真实个人或物理位置的难度远高于普通固话。 骗子还滥用Adobe电子签名服务等合法平台。2025年4月至5月期间，Talos发现了通过Adobe系统发送的PDF，冒充PayPal等品牌。 PDF也是二维码钓鱼的绝佳载体，而二维码钓鱼当下正大行其道。这些二维码通常冒充微软或Adobe等公司。 此外，还有一种危险策略是滥用PDF文件中的注释功能。PDF可以在评论、便签或表单域等地方隐藏链接。所有这些区域都会被许多扫描器忽略。 攻击者还会在文件中填充无关文本来混淆检测引擎。在某些情况下，他们会嵌入两个URL：一个看起来是干净的（用于建立信任），另一个隐藏的URL则会将你带到真正的钓鱼页面。       消息来源： Cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现，近期出现大量冒充微软、DocuSign等知名品牌的钓鱼邮件，其附件PDF中包含恶意二维码或链接，诱导受害者拨打攻击者控制的电话。这种新型攻击手法被称为“电话导向攻击投递”（Telephone-Oriented Attack Delivery，简称TOAD，也称“回拨式钓鱼”）。 思科Talos研究员Omid Mirzaei向The Hacker News透露，2025年5月5日至6月5日期间的分析显示，微软和DocuSign是PDF附件钓鱼邮件中最常被冒充的品牌，而NortonLifeLock、PayPal和Geek Squad也频繁出现在此类攻击中。 这些攻击利用用户对知名品牌的信任，通过PDF附件嵌入看似合法的二维码或链接，将受害者重定向至伪造的微软登录页面或Dropbox等服务的钓鱼网站。部分攻击甚至利用PDF注释功能隐藏恶意URL，伪装成便签、评论或表单字段，同时链接到真实网页以增强可信度。 在TOAD攻击中，受害者会被诱导拨打邮件中的“客服电话”，攻击者则冒充品牌客服代表，诱骗受害者泄露敏感信息或安装恶意软件。攻击者通常通过伪造紧迫感、播放虚假等待音乐、甚至伪造来电显示等手段，增强欺骗效果。 美国联邦调查局（FBI）2025年5月曾警告，一个名为“Luna Moth”的金融犯罪集团利用类似手法，冒充IT部门人员入侵企业网络。Mirzaei指出：“攻击者通过语音通话直接操控受害者情绪，利用人们对电话沟通的天然信任实施社会工程学攻击。” 大多数攻击者使用VoIP号码隐藏身份，部分号码甚至连续使用四天，以便通过同一号码实施多阶段社会工程学攻击。思科Talos强调：“品牌冒充是最常见的社会工程学手段之一，建立品牌冒充检测引擎对防御此类攻击至关重要。” 近期，攻击者还利用微软365（M365）的“Direct Send”功能发送钓鱼邮件。该功能允许攻击者无需入侵账户，即可伪造内部用户身份发送邮件。自2025年5月以来，已有超过70家组织成为此类攻击的目标。 这些伪造邮件不仅看似来自组织内部，还利用智能主机地址的可预测性（如“<tenant_name>.mail.protection.outlook.com”）绕过身份验证。攻击者有时会诱导受害者安装AnyDesk或TeamViewer等远程控制软件，或通过伪造支付页面窃取信用卡信息。 例如，2025年6月17日的一封钓鱼邮件伪装成语音邮件通知，附件PDF中的二维码指向伪造的微软365登录页面。安全研究员Tom Barnea指出：“攻击者利用M365 Direct Send功能发送内部邮件，这类邮件比外部邮件更容易绕过审查，成为低门槛的钓鱼载体。” 与此同时，Netcraft的最新研究发现，当用户向大型语言模型（LLM）询问50个不同品牌的登录网址时，模型有三分之一的时间会返回错误结果：近30%的域名未注册或闲置，5%指向完全无关的网站。这意味着用户可能因AI聊天机器人的错误引导而访问钓鱼网站。 Netcraft还发现，攻击者试图通过GitHub发布包含恶意功能的虚假API来“污染”AI编程助手（如Cursor）。安全研究员Bilaal Rashid表示：“攻击者不仅发布代码，还创建博客教程、论坛问答和数十个GitHub仓库进行推广。他们使用精心设计的虚假账户，伪装成可信开发者，诱导AI训练模型收录恶意代码。” 此外，攻击者还通过名为“Hacklink”的非法市场，向被入侵的政府（.gov）或教育（.edu）网站注入JavaScript或HTML代码，操纵搜索引擎优先展示钓鱼网站。安全研究员Andrew Sebborn解释：“Hacklink允许犯罪分子购买数千个被入侵网站的权限，插入指向钓鱼或非法网站的链接。这些链接与特定关键词关联，当用户搜索相关内容时，被入侵网站会出现在搜索结果中。” 更令人担忧的是，攻击者无需完全控制网站，即可篡改搜索结果中的文本内容，进一步损害品牌信誉和用户信任。     消息来源： thehackernews ； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全公司Trustwave SpiderLabs近期报告证实，被称为Blind Eagle的威胁行为者高度疑似使用俄罗斯防弹主机服务Proton66。研究人员通过追踪与该服务关联的数字资产，发现一个活跃攻击集群：其利用VBS脚本作为初始攻击载体，部署现成的远程访问木马（RAT）。 攻击者青睐Proton66等防弹主机服务，因其故意无视滥用举报和法律取缔要求，使钓鱼网站、C2服务器和恶意软件分发系统得以持续运作。2024年8月起，研究人员发现一组命名模式相似的域名（如gfast.duckdns[.]org），均解析至Proton66关联IP（45.135.232[.]38）。此类攻击还依赖DuckDNS等动态DNS服务——攻击者通过轮换子域名关联同一IP，大幅增加防御方检测难度。 这些域名托管多种恶意内容，包括针对哥伦比亚银行（Bancolombia、BBVA等）的钓鱼页面，以及作为恶意软件初始阶段的VBS脚本。后者实为加载器，可下载加密可执行文件并部署AsyncRAT、Remcos RAT等商用木马。VBS脚本虽显陈旧，但因兼容性高、静默运行特性，仍被用于下载恶意加载器、绕过杀毒软件并混入正常用户活动，成为多阶段攻击的首选入口点。 技术分析显示，VBS代码与付费加密服务Crypters and Tools的Vbs-Crypter工具存在重叠，该服务专门混淆VBS载荷以规避检测。此外，Trustwave还发现一个僵尸网络控制面板，支持操控受感染设备、窃取数据并通过RAT管理套件交互受控终端。 此发现与Darktrace披露的Blind Eagle活动形成印证：自2024年11月起，该组织持续利用已修复的Windows漏洞（CVE-2024-43451）攻击哥伦比亚机构，下载后续攻击载荷。Check Point在2025年3月首次记录此行为，凸显其战术适应能力——即使补丁发布后，仍能快速调整既定战术（TTPs）。Darktrace强调：“及时漏洞管理和补丁应用虽必要，但不足以独立应对此类威胁。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 犯罪分子正通过伪造CapCut（剪映）订阅发票窃取Apple ID凭证与信用卡信息。字节跳动旗下短视频编辑平台CapCut当前主导市场，使其成为网络犯罪分子的高价值目标。网络安全公司Cofense近期监测到一场新的钓鱼攻击活动，旨在窃取Apple ID登录信息。 攻击者伪造CapCut官方品牌发票，向用户发送“订阅确认”邮件。当用户发现需支付50美元费用时，会急于点击“取消订阅”按钮——而这正是精心设计的陷阱。点击后用户将被重定向至伪造的Apple ID登录页面，被诱导输入账户凭证。攻击者还会进一步要求受害者填写信用卡信息以“处理退款”。 受害者往往直至操作结束都难以察觉异常，因该骗局通过消除疑虑的设计规避警惕。Cofense分析指出：“此次钓鱼活动揭示了犯罪者如何利用品牌信任感与紧迫心理操控受害者：通过模仿CapCut/苹果标识并制造意外扣款恐慌，引导用户完成无缝衔接的两阶段凭证窃取流程。最终设置的虚假验证步骤更是延缓受害者警觉、延长攻击窗口期的关键策略。” 最佳防御措施是保持怀疑态度： 仔细检查网址：核对链接域名是否与官网完全匹配。 警惕敏感信息请求：对索要账户密码、支付信息等异常要求保持警觉。 举报可疑邮件：及时向平台或安全机构报告钓鱼邮件。     消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Meta周三宣布将在Facebook上支持新一代密码标准通行密钥（passkeys）。该公司在公告中表示：“通行密钥是验证身份和登录账户的新方式，比传统密码更便捷安全。”该功能预计“很快”登陆安卓和iOS移动设备，未来数月也将扩展至Messenger平台。用户使用Meta Pay支付时，通行密钥还可自动填充付款信息。 网络安全方面，通行密钥由FIDO联盟支持，用户可凭生物识别或设备锁屏PIN码安全登录在线服务。Meta强调该技术能有效防范钓鱼攻击和密码喷洒攻击：“相比传统密码和短信验证码，通行密钥具备抗猜测、抗窃取特性，可抵御恶意网站和欺诈链接。”此前Meta已在WhatsApp部署该技术：安卓版于2023年10月推出，iOS版于2024年4月上线，Instagram的部署计划暂未公布。 上月微软已在新用户账户中默认启用通行密钥登录。近期苹果也预告将在iOS、iPadOS、macOS和visionOS 26系统中，支持用户在不同密码管理器间导入导出通行密钥。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 具有俄罗斯背景的黑客组织正利用谷歌“应用密码”功能实施钓鱼攻击，这是一种旨在窃取受害者邮箱访问权限的新型社会工程学手段。 谷歌威胁情报小组与公民实验室披露了这场高度定向攻击的细节，称攻击者主要伪装成美国国务院官员。研究员表示：“2025年4月至6月初期间，该组织持续针对知名学者及俄罗斯批评人士，通过长期建立信任关系与定制化话术，诱使目标创建16位应用密码(ASP)。受害者一旦分享密码，攻击者即可长期访问其邮箱。” 谷歌将攻击归因于UNC6293组织，该团伙疑与俄罗斯背景的APT29黑客集团（又名蓝徽章/舒适熊）相关。与传统制造紧迫感的钓鱼不同，攻击者耗费数周培养信任：他们发送伪装成会议邀请的钓鱼邮件，在抄送栏伪造至少四个“@state.gov”邮箱以增强可信度。公民实验室指出：“受害者可能认为‘若有问题，国务院人员会提醒我’。而攻击者显然掌握国务院邮件服务器不验证地址有效性的漏洞。” 攻击者以“保障内外部安全通讯”为由，诱骗受害者生成应用密码（注：该功能可使低安全性设备绕过双重认证访问谷歌账户）。在目标同意会面后，向其发送伪造的国务院云平台访问指南PDF。谷歌威胁情报组确认，攻击者借此建立邮件客户端持久访问权限，终极目标是监控受害者往来邮件。 谷歌表示还监测到以乌克兰为主题的同类攻击，攻击者主要使用住宅代理和云服务器隐藏行踪，谷歌已采取防护措施。UNC6293与APT29的关联基于其自年初实施的一系列创新攻击：包括利用设备验证码和入网验证钓鱼窃取Microsoft 365账户。微软上月披露，自2025年4月以来，俄罗斯背景黑客通过虚假会议链接诱导受害者发送OAuth授权码。该恶意链接会返回设备注册令牌，使黑客设备获得目标组织网络访问权限。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国主要财产保险公司伊瑞保险（Erie Insurance）近日向监管机构及客户通报了一起网络安全事件及相关网络瘫痪。作为财富500强企业，该公司拥有超7000名员工和14000名代理人，其母公司伊瑞赔偿公司（Erie Indemnity Company）去年营收近40亿美元，目前持有超600万份有效保单。 然而，该公司昨日警告客户称，因上周六（6月7日）确认的“信息安全事件”导致“持续网络瘫痪”。公司官网公告声明： “6月7日星期六，伊瑞保险信息安全团队发现异常网络活动。我们立即采取行动应对此情况以保护系统和数据。自周六起，我们持续实施防护措施保障系统安全。 停电期间，伊瑞保险不会致电或发送电子邮件要求客户付款。最佳做法是：勿点击未知来源链接，勿通过电话或电子邮件提供个人信息。” 后一项提示表明，该公司担忧网络犯罪分子可能已获取客户数据，或正利用本次事件发起钓鱼攻击。 美国证券交易委员会文件显示，除已通报执法部门及正在执行事件响应协议外，暂无其他进展说明： “公司持续采取防护措施，并在领先第三方网络安全专家协助下开展全面的取证分析，以彻底查明事件全貌。鉴于事件发生时间较短，调查与响应仍在进行中，事件完整范围、性质及最终影响尚不明确。” 尽管具体细节未明，此次网络瘫痪极可能是该公司为遏制攻击影响范围而主动采取的隔离措施。鉴于保险公司持有大量敏感客户数据，它们已成为网络攻击的高频目标。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文