HackerNews 编译，转载请注明出处： 今年的报税季，人工智能（AI）为一系列税务诈骗活动提供了强大助力，诈骗者利用深度伪造音频和其他技术手段拦截资金，并诱骗纳税人向他们发送财务文件。 网络犯罪分子一直以来都会利用报税季的前四个月进行诈骗，但多位网络安全专家最近指出，这些诈骗手段中出现了一个令人担忧的新变化：利用人工智能（AI）进行语音网络钓鱼攻击。 黑客利用AI生成的音频伪装成纳税人的税务准备人员、会计师或国税局工作人员，利用之前窃取的个人信息来增加诈骗的可信度。 Bugcrowd创始人Casey Ellis表示，生成式人工智能和深度伪造技术是“诈骗者的改变游戏规则的技术”。他说：“这些技术使攻击者能够扩大其运营规模，同时增加诈骗的可信度。例如，一个‘税务顾问’的深度伪造视频可以被用来诱骗受害者分享敏感信息，或者AI生成的电子邮件可以以惊人的准确性模仿国税局的官方沟通风格。” 他还表示，他们已经看到AI驱动的攻击急剧增加，这些攻击帮助网络犯罪分子制造“极具说服力的网络钓鱼电子邮件、语音电话甚至视频信息”。 Deepwatch首席信息安全官Chad Cragle和其他一些人也分别证实，今年报税季AI驱动的攻击有所增加，尤其是那些具有说服力的网络钓鱼电子邮件和深度伪造音频，这些音频被设计用来假冒值得信赖的税务官员。 Cragle补充说，攻击者正在复制声音以通过电话欺骗受害者，并主动提出帮助受害者创建国税局在线账户，诱使他们交出敏感的财务信息。 Keeper Security副总裁Patrick Tiquet指出，网络犯罪分子现在可以创建国税局工作人员、税务专业人士甚至家庭成员的逼真视频和音频模仿，诱骗个人透露像社保号码或税务凭证这样的信息。 Tiquet和Ellis表示，人们应该留意不一致之处，因为AI通常在细节方面存在困难。人们还应在交出信息之前验证身份，并拒绝任何听起来紧急的要求，无论是通过电话还是电子邮件。Ellis还补充说，一些反向图像和视频搜索工具也可以通知你内容是否是人工生成或被篡改过的。 短信诈骗、域名抢注和特朗普退税 除了AI语音诈骗外，防御者还继续看到一些经过改良的经典报税季网络盗窃手段。 Zimperium的Kern Smith表示，他看到移动优先攻击有所增加，攻击者伪装成国税局或税务服务机构发送短信，敦促收件人点击恶意链接或下载虚假应用程序。 Smith表示，这些诈骗活动旨在窃取登录凭证、社保号码和其他敏感财务信息。 专家们还强调了各种钓鱼网站和假冒平台，这些平台利用人们搜索“特朗普退税”等术语，或者寻找像H&R Block这样的知名税务公司。 Cragle表示，假冒网站利用搜索引擎优化（SEO）中毒技术，篡改搜索引擎排名，使其看起来合法并吸引受害者，而Ellis补充说，网络犯罪分子还在利用税务软件或第三方集成中的未修补漏洞。 微软上周发布了一篇长篇博客，强调了最近通过电子邮件传播恶意软件的钓鱼活动，这些电子邮件的主题行写着“通知：国税局发现您的纳税申报存在问题”或“重要行动要求：国税局审计”。 许多电子邮件都带有国税局相关文件名的PDF附件，目标是客户以及注册会计师和会计师。 微软表示：“2025年2月12日至28日，以税务为主题的钓鱼电子邮件被发送到超过2300个组织，这些组织大多位于美国的工程、信息技术和咨询行业，这些电子邮件虽然正文为空，但带有链接到恶意软件的PDF附件，附件中包含二维码。”     消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员正在关注一种新型的凭证网络钓鱼计划，该计划确保被盗信息与有效的在线账户相关联。 这种技术被Cofense命名为“精准验证网络钓鱼”，它采用实时电子邮件验证，以便只有经过筛选的高价值目标才会看到伪造的登录页面。 “这种策略不仅使攻击者在获取可用凭证方面成功率更高，因为他们只针对特定的、预先收集的、有效的电子邮件账户列表进行攻击，”该公司表示。 与通常通过大量发送垃圾邮件以随机获取受害者登录信息的“广撒网”凭证收集活动不同，最新的攻击策略将鱼叉式网络钓鱼提升到了一个新的水平，只与攻击者已验证为活跃、合法且高价值的电子邮件地址进行互动。 在这种情况下，受害者在钓鱼落地页面输入的电子邮件地址会与攻击者的数据库进行验证，之后才会显示伪造的登录页面。如果电子邮件地址不在数据库中，页面要么返回错误，要么将用户重定向到像维基百科这样的无害页面，以逃避安全分析。 通过将基于API或JavaScript的验证服务集成到钓鱼工具包中，该服务会在进入密码捕获步骤之前确认电子邮件地址，从而完成这些检查。 “这提高了攻击的效率，以及被盗凭证属于真实、活跃使用的账户的可能性，从而提高了收集到的数据的质量，以便转售或进一步利用，”Cofense表示。 “自动化安全爬虫和沙箱环境也难以分析这些攻击，因为它们无法绕过验证过滤器。这种针对性的方法降低了攻击者的风险，并延长了钓鱼活动的生命周期。” 随着网络安全公司还披露了一项使用文件删除提醒作为诱饵以获取凭证并传播恶意软件的电子邮件钓鱼活动的细节，这一发展也随之而来。 这种双管齐下的攻击利用了一个嵌入式URL，该URL似乎指向一个计划从名为files.fm的合法文件存储服务中删除的PDF文件。如果消息接收者点击链接，他们将被带到一个合法的files.fm链接，从那里他们可以下载所谓的PDF文件。 然而，当PDF文件被打开时，用户会被提供两个选项，要么预览文件，要么下载文件。选择预览的用户会被带到一个伪造的微软登录页面，该页面旨在窃取他们的凭证。而选择下载选项时，它会释放一个声称是微软OneDrive的可执行文件，但实际上是从ConnectWise的ScreenConnect远程桌面软件。 “这几乎就像是攻击者故意设计攻击来诱捕用户，迫使他们选择他们将落入哪种‘陷阱’，”Cofense表示。“两种选择都导致了相同的结果，目标相似，但实现目标的方式不同。” 这一发现也紧随一项复杂的多阶段攻击的发现之后，该攻击结合了语音钓鱼（vishing）、远程访问工具和利用现有系统资源（living-off-the-land）技术来获取初始访问权限并建立持久性。在活动中观察到的攻击手法与被追踪为Storm-1811（又名STAC5777）的攻击集群一致。 “攻击者利用暴露的通信渠道，通过Microsoft Teams消息传递恶意PowerShell负载，随后使用Quick Assist远程访问环境，”Ontinue表示。“这导致了签名二进制文件（例如TeamViewer.exe）的部署、一个侧加载的恶意DLL（TV.dll），最终通过Node.js执行基于JavaScript的C2后门。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络钓鱼攻击者正在采用一种名为“精准验证钓鱼”的新规避技术，该技术仅在用户输入攻击者特定目标的电子邮件地址时才会显示虚假登录表单。 与传统的广泛目标网络钓鱼不同，这种新方法使用实时电子邮件验证，确保只有经过预先验证的高价值目标才能看到钓鱼内容。 尽管这种新策略并不特别复杂或高深，但它将所有非有效目标排除在网络钓鱼过程之外，从而阻止他们了解攻击操作。 电子邮件安全公司Cofense记录了这种新策略的采用率上升，并指出这给他们的工作带来了显著的实际问题。 在研究网络钓鱼网站时，研究人员通常会输入虚假的电子邮件地址或他们控制的地址，以映射凭证盗窃活动。 然而，随着这种新技巧的出现，研究人员输入的无效或测试电子邮件地址现在会显示错误或将其重定向到无害的网站。这影响了研究中使用的自动化安全爬虫和沙箱，降低了检测率并延长了网络钓鱼活动的寿命。 “网络安全团队传统上依赖于通过提交虚假凭证来观察攻击者行为和基础设施的受控网络钓鱼分析，”Cofense解释道。 “通过精准验证钓鱼，这些策略变得无效，因为任何未识别的电子邮件在钓鱼内容被交付之前就会被拒绝。” 根据Cofense的说法，攻击者使用两种主要技术来实现实时电子邮件验证。 第一种方法是滥用集成在网络钓鱼工具包中的第三方电子邮件验证服务，通过API调用实时检查受害者地址的有效性。 第二种方法是在网络钓鱼页面中部署自定义JavaScript，该脚本会将受害者在钓鱼页面上输入的电子邮件地址发送到攻击者的服务器，以确认其是否在预先收集的列表中。 如果没有匹配项，受害者将被重定向到无害的网站，比如维基百科。 Cofense解释说，通过简单地输入向他们报告网络钓鱼尝试的人员的电子邮件地址来绕过这一限制通常是不可能的，因为他们的客户施加了使用限制。 即使他们被允许使用真实目标的地址，分析人员也指出，一些活动更进一步，在受害者在钓鱼页面上输入有效电子邮件后，会向其收件箱发送一个验证代码或链接。 为了继续网络钓鱼过程，受害者需要输入他们收件箱中收到的代码，而这超出了安全分析师的访问范围。 这对电子邮件安全工具，尤其是依赖传统检测方法的工具，产生了严重的影响，因为它们更有可能无法向目标发出网络钓鱼尝试的警报。 随着网络钓鱼活动采用动态输入验证，防御者必须采用新的检测策略，强调行为指纹识别和实时威胁情报关联，以保持领先于攻击者。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一个名为Lucid的新型复杂网络钓鱼即服务(PhaaS)平台，利用通过苹果iMessage和安卓富通信服务(RCS)传播的短信网络钓鱼消息，攻击了88个国家的169个实体。 Lucid的独特卖点在于其利用合法通信平台来绕过传统的基于短信的检测机制。 瑞士网络安全公司PRODAFT在与《黑客新闻》分享的一份技术报告中表示：“其可扩展的订阅模式使网络犯罪分子能够开展大规模网络钓鱼活动，以获取信用卡信息进行金融欺诈。” “Lucid利用苹果iMessage和安卓的RCS技术，绕过了传统的短信垃圾邮件过滤器，显著提高了投递和成功率。” Lucid被认为是讲中文的黑客组织XinXin（又名Black Technology）的作品，网络钓鱼活动主要针对欧洲、英国和美国，意图窃取信用卡数据和个人身份识别信息(PII)。 网络安全 更重要的是，该服务背后的威胁行为者还开发了其他PhaaS平台，如Lighthouse和Darcula，后者已更新为能够克隆任何品牌的网站以创建网络钓鱼版本。Lucid的开发者是代号为LARVA-242的威胁行为者，他也是XinXin组织的关键人物。 这三个PhaaS平台在模板、目标池和战术上有重叠，暗示了一个繁荣的地下经济，讲中文的行为者利用Telegram以订阅方式宣传他们的产品以获取利润。 利用这些服务的网络钓鱼活动被发现冒充邮政服务、快递公司、收费支付系统和税务退款机构，使用令人信服的网络钓鱼模板欺骗受害者提供敏感信息。 这些大规模活动在后端通过iPhone设备农场和在Windows系统上运行的移动设备模拟器来发送数十万条包含虚假链接的诈骗消息。目标电话号码是通过各种方法获得的，如数据泄露和网络犯罪论坛。 “对于iMessage的链接点击限制，他们采用‘请回复Y’技术来建立双向通信，”PRODAFT解释说。“对于谷歌的RCS过滤，他们不断轮换发送域/号码以避免模式识别。” iMessage和RCS短信网络钓鱼 “对于iMessage，这涉及创建具有冒充显示名称的临时Apple ID，而RCS利用运营商在发送者验证中的实现不一致性。” 除了提供简化可定制网络钓鱼网站创建的自动化工具外，这些页面本身还结合了高级反检测和规避技术，如IP阻止、用户代理过滤和限时单次使用URL。 Lucid还支持通过面板实时监控受害者活动并记录与网络钓鱼链接的每一次交互，使其客户能够提取输入的信息。受害者提交的信用卡详细信息会经过额外的验证步骤。该面板是使用开源的Webman PHP框架构建的。 “Lucid PhaaS面板揭示了一个高度组织化和相互关联的网络钓鱼即服务平台生态系统，这些平台由讲中文的威胁行为者运营，主要在XinXin组织下，”该公司表示。 “XinXin组织开发和利用这些工具，并通过出售窃取的信用卡信息获利，同时积极监控和支持类似PhaaS服务的发展。” 值得注意的是，PRODAFT的发现与Palo Alto Networks Unit 42的发现相呼应，后者最近指出一些未具名的威胁行为者利用域名模式“com-”注册了超过10,000个域名，通过苹果iMessage传播各种短信网络钓鱼骗局。 随着Barracuda警告2025年初PhaaS攻击大幅增加，使用Tycoon 2FA、EvilProxy和Sneaky 2FA，这些服务分别占所有PhaaS事件的89%、8%和3%。 “网络钓鱼邮件是许多攻击的入口，从凭证盗窃到金融欺诈、勒索软件等等，”Barracuda安全研究员Deerendra Prasad表示。“推动网络钓鱼即服务的平台越来越复杂和隐蔽，使得传统安全工具更难检测网络钓鱼攻击，并且在造成损害方面更强大。”   消息来源：The Hacker News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一家名为Morphing Meerkat的网络钓鱼即服务（PhaaS）运营平台近日被安全研究人员发现。该平台利用DNS over HTTPS（DoH）协议逃避检测，并通过DNS邮件交换（MX）记录识别受害者的电子邮件提供商，动态生成超过114个品牌的仿冒登录页面。 大规模网络钓鱼行动 Morphing Meerkat自2020年起活跃，由Infoblox的安全研究人员首次揭示。尽管部分活动曾被记录，但该平台在过去几年中大多未被察觉。 作为一款完整的PhaaS工具包，Morphing Meerkat为技术能力有限的攻击者提供了一站式的网络钓鱼攻击解决方案。它拥有集中化的SMTP基础设施，用于发送垃圾邮件。其中50%的邮件来源于英国的iomart和美国的HostPapa提供的互联网服务。 该平台能够模拟包括Gmail、Outlook、Yahoo、DHL、Maersk和RakBank等在内的114家电子邮件和服务提供商，发送带有类似“需要采取行动：账户停用”等紧急主题的邮件。这些邮件支持多种语言，包括英语、西班牙语、俄语和中文，且能够伪造发件人姓名和地址。 攻击流程 当受害者点击邮件中的恶意链接时，他们会经历一系列开放重定向攻击。这些重定向通常通过广告技术平台（如Google DoubleClick）执行，并涉及受感染的WordPress网站、伪造的域名和免费托管服务。 最终，钓鱼工具包会在受害者的浏览器中加载，同时利用DoH向Google或Cloudflare发送DNS查询以获取受害者电子邮件域名的MX记录。根据查询结果，工具包会动态生成伪造的登录页面，并自动填充受害者的电子邮件地址。 一旦受害者输入凭据，数据会通过AJAX请求和PHP脚本发送到攻击者的外部服务器。此外，攻击者还可能使用Telegram机器人webhook进行实时转发。为了验证凭据的准确性，受害者首次输入密码后会收到一条错误信息提示密码无效，诱导其再次输入。 输入成功后，受害者会被重定向至真实的身份验证页面，以减少怀疑。 使用DoH与DNS MX的隐蔽性 Morphing Meerkat的独特之处在于采用DoH和DNS MX记录，这些高级技术使攻击更具隐蔽性。 DoH通过加密的HTTPS请求执行DNS解析，替代传统的基于UDP的DNS查询，从而绕过DNS监控。MX记录则用于指示哪个服务器负责接收特定域的电子邮件。攻击者通过客户端直接查询Cloudflare或Google获取MX记录信息，从而避免被检测。 利用MX记录信息，钓鱼工具包能够实时生成与受害者邮箱提供商匹配的仿冒页面，提升攻击的成功率。 防御建议 Infoblox建议企业实施更严格的DNS控制，阻止用户直接与DoH服务器通信。此外，还应限制用户访问与企业业务无关的广告技术和文件共享基础设施，以降低攻击风险。 与Morphing Meerkat相关的所有攻击指标（IoC）已公开发布在GitHub存储库中，供安全研究人员进一步分析。   消息来源：Bleeping Computer 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员揭示了一种新型的“钓鱼即服务”（PhaaS）平台。该平台利用域名系统（DNS）中的邮件交换（MX）记录生成虚假登录页面，伪造约114个品牌，以骗取用户凭据。 DNS情报公司Infoblox正在追踪此次活动，并将该钓鱼套件及相关攻击活动命名为Morphing Meerkat（变形猫鼬）。 “该攻击者通常利用广告技术基础设施中的开放重定向漏洞，劫持域名进行钓鱼活动，并通过包括Telegram在内的多种渠道分发窃取的凭据。”Infoblox在与《The Hacker News》分享的报告中表示。 Forcepoint在2024年7月记录了一次利用该PhaaS工具包的攻击活动。攻击者在钓鱼邮件中插入链接，伪装成共享文档。受害者点击链接后会被重定向至Cloudflare R2上的虚假登录页面，输入凭据后信息将通过Telegram传输至攻击者手中。 据估计，Morphing Meerkat已发送了数千封垃圾邮件。为了绕过安全过滤，攻击者主要依赖受感染的WordPress网站以及Google旗下DoubleClick等广告平台的开放重定向漏洞。 此外，该钓鱼套件还支持实时翻译，能够将钓鱼页面的内容动态转换为包括英语、韩语、西班牙语、俄语、德语、中文和日语在内的十多种语言，针对全球用户进行攻击。 钓鱼页面还具备多项反分析措施，例如禁止鼠标右键点击和屏蔽键盘快捷键（如Ctrl + S用于保存网页、Ctrl + U用于查看网页源代码），进一步阻碍安全研究人员的分析。 Morphing Meerkat真正独特之处在于它通过从Cloudflare或Google获取的DNS MX记录识别受害者的邮件服务提供商（如Gmail、Microsoft Outlook或Yahoo!）。随后，它会动态生成相应的虚假登录页面，以增加欺骗的可信度。 如果钓鱼套件无法识别受害者的MX记录，则会默认显示一个伪装成Roundcube的登录页面。 “这种攻击方式为攻击者带来了显著优势，”Infoblox表示。“它使攻击者能够针对特定受害者进行定向攻击，通过与受害者实际使用的邮件服务提供商高度一致的网页内容，提高欺骗成功率。” “整体钓鱼体验显得更加真实，因为登录页面的设计通常与钓鱼邮件中的消息相匹配。这种技术进一步诱骗受害者在钓鱼页面中提交他们的邮箱凭据。” 消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一场精心策划的网络钓鱼活动正在悄然改变其攻击目标，从 Windows 系统转向 macOS，引发了网络安全领域的高度关注。据以色列网络安全公司 LayerX 的最新报告，这场以窃取用户登录凭证为目的的恐吓软件攻击活动，近期调整了攻击策略，将矛头指向了 macOS 用户。 在 2024 年及 2025 年初，该攻击活动主要针对 Windows 用户，通过入侵合法网站并植入恶意代码，制造虚假的微软安全警报。这些警报声称用户的计算机已被入侵并锁定，随后网页会被恶意代码冻结，制造出系统故障的假象。受害者在恐慌中被诱导输入 Windows 用户名和密码，攻击者借此获取敏感信息。 为了增加攻击的可信度，攻击者将钓鱼页面托管在微软旗下的合法 Azure 应用托管平台 Windows.net 上。由于该平台的高信誉度，攻击者成功绕过了许多基于顶级域名（TLD）声誉检查的反钓鱼防御机制。LayerX 指出：“Windows.net 是一个知名且被广泛使用的平台，由信誉良好的微软公司运营。因此，这些钓鱼页面能够轻易绕过传统的安全防护机制。” 此外，攻击者还利用随机化、快速变形的子域名来托管恶意代码，并精心设计钓鱼页面，使其看起来极为专业。他们甚至加入了反机器人和验证码验证机制，以延缓自动化检测系统的识别。 然而，随着 Chrome、Firefox 和 Microsoft Edge 浏览器近期新增了反恐吓软件功能，针对 Windows 系统的攻击成功率大幅下降，攻击活动减少了 90%。这迫使攻击者将注意力转向 macOS 用户，因为 macOS 系统并未受到这些新防御机制的保护。 LayerX 表示，在针对 Windows 的攻击活动进行期间，并未观察到对 macOS 的攻击。但在新的反钓鱼防御措施推出后的两周内，针对 macOS 用户的攻击便迅速展开。这些钓鱼页面与之前用于攻击 Windows 的页面几乎完全相同，但布局和信息已被调整以适应 macOS 用户，恶意代码也经过修改以针对 Safari 浏览器。 据 LayerX 报告，攻击者利用用户错误输入合法网站 URL 的机会，将其引导至被入侵的域名“托管”页面，随后通过多个域名重定向，最终将用户带到钓鱼页面。在一个具体案例中，一名 LayerX 企业客户的 macOS 和 Safari 用户成为攻击目标。尽管该组织部署了安全网络网关（SWG），但攻击仍然成功绕过了这一防护措施。 LayerX 认为，攻击者可能会在将 macOS 上的 Safari 用户作为主要攻击目标后，对现有基础设施进行最小限度的修改，以进一步调整其攻击策略。LayerX 产品营销主管 Eyal Arazi 强调：“个人非企业账户被入侵通常仅限于暴露该个人用户的信息，而企业账户被入侵可能导致组织层面的数据泄露，使威胁变得更加严重。” 这场从 Windows 到 macOS 的攻击向量转变表明，攻击者正在不断调整和优化其攻击策略，以寻找新的漏洞和目标。这场攻击活动不仅高度专业、持续性强，还具有很强的适应性，对企业用户构成了重大威胁。随着攻击手段的不断演变，企业和个人用户必须保持警惕，及时更新安全防护措施，以应对日益复杂和隐蔽的网络攻击。 消息来源：SecurityWeek； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一场大规模的Coinbase网络钓鱼攻击伪装成强制性的钱包迁移，欺骗收件人使用攻击者控制的预生成恢复短语设置新钱包。 这些邮件的主题是“迁移至Coinbase钱包”，声称所有用户必须迁移到自我托管钱包，并提供了下载合法Coinbase钱包的说明。 “自3月14日起，Coinbase将过渡到自我托管钱包。在一场集体诉讼指控未注册证券和无证经营后，法院要求用户自行管理钱包，”钓鱼邮件中写道。 “Coinbase将作为注册经纪人，允许购买，但所有资产必须转移到Coinbase钱包。” “下面显示的唯一恢复短语是您的Coinbase身份。它授予对您资金的访问权—请将其记录下来并安全存储。通过依次输入每个单词后跟一个空格，将其导入Coinbase钱包。” 这些邮件声称来自Coinbase，但回信地址是noreply@akamai.com。它们还来自IP地址167.89.33.244，这是一个SendGrid IP地址，通过DNS解析到o1.soha.akamai.com。 由于这些邮件似乎是通过SendGrid直接发送的，并且似乎是通过Akamai的账户，因此它们通过了SPF、DMARC和DKIM电子邮件安全检查，从而绕过了许多账户的垃圾邮件过滤器。 BleepingComputer联系了Akamai，询问是否有一个SendGrid账户被攻破，并收到了以下声明。 “Akamai已注意到有关针对Coinbase用户的网络钓鱼骗局的报道，该骗局涉及使用Akamai电子邮件域名。我们非常重视信息安全，并正在积极调查此事，”Akamai告诉BleepingComputer。 “网络钓鱼骗局仍然是普遍的网络威胁，我们敦促所有用户在收到未请求的电子邮件时保持警惕，尤其是那些要求提供个人信息或账户信息的邮件。如果您怀疑一封邮件可能是网络钓鱼尝试，请将其视为网络钓鱼，并避免点击任何链接或提供任何敏感信息。” “我们正在努力解决这一情况，并将继续监控和减轻任何相关风险。在此期间，我们建议提高警惕，以帮助保护您的个人信息。” 这场网络钓鱼活动的特别之处在于，邮件内没有任何网络钓鱼链接，所有链接都指向Coinbase合法的钱包页面。 相反，网络钓鱼邮件包含一个恢复短语，声称应使用该短语设置新的Coinbase钱包。 恢复短语，也称为“种子”，是一系列单词，作为加密货币钱包私钥的人类可读版本。 任何知道此恢复短语的人都可以将其导入自己的设备，从而窃取其中存储的任何加密货币和NFT。 虽然大多数加密货币网络钓鱼骗局试图窃取用户的恢复短语，然后攻击者用其窃取资金，但此次网络钓鱼活动则相反。 这封网络钓鱼邮件非常巧妙，因为它不是窃取用户的短语，而是提供一个攻击者已经知道并控制的短语。 一旦用户使用该短语设置新钱包并转移资金，所有资产将可供威胁行为者使用，他们可以将其转移到自己控制的另一个钱包。 Coinbase已意识到这一骗局，并在X上发帖称他们永远不会向客户发送恢复短语。 “提醒：警惕恢复短语骗局，”Coinbase在X上发帖。 “我们已注意到新的网络钓鱼邮件，伪装成Coinbase和Coinbase钱包。我们永远不会向您发送恢复短语，您也不应输入任何其他人提供的恢复短语。” 对于那些上当受骗的人，如果新创建的钱包中仍有资金，应迅速将其转回自己的钱包，以免被威胁行为者窃取。 虽然规则一直是不要将恢复短语分享给其他人或网站，但现在应扩展为不要使用通过电子邮件和网站共享给您的恢复短语，因为它们很可能被用于窃取您的加密货币。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国多个城市正在警告一场正在进行的移动网络钓鱼活动，该活动通过伪装成城市停车违规部门的短信，通知用户未付停车发票，并声称如果未支付，将每天收取35美元的额外罚款。 尽管停车诈骗已经存在多年，但最近一波大规模的网络钓鱼短信已导致美国多个城市发布警告，包括安纳波利斯、波士顿、格林尼治、丹佛、底特律、休斯顿、密尔沃基、盐湖城、夏洛特、圣地亚哥、旧金山等。 此次短信浪潮始于去年12月，并一直持续至今。BleepingComputer 本周早些时候也收到了针对纽约居民的钓鱼短信。 这些短信声称来自城市停车违规部门，通知用户有未付的停车发票，如果未支付，将每天收取35美元的逾期费用。短信随后提示用户点击链接以支付罚款。 “这是纽约市关于未付停车发票的最后提醒。如果今天不付款，将每天收取35美元的逾期费用，”钓鱼短信写道。 同样的钓鱼模板也被用于其他城市的未付停车发票短信中。 为了规避检测，诈骗者利用Google.com的开放重定向，将用户引导至伪装成目标城市的钓鱼网站。例如，纽约市的钓鱼网站是nycparkclient[.]com。 过去一年中，苹果引入了一项安全功能，禁用了来自未知发件人或可疑域名的短信中的链接。由于Google.com是一个受信任的域名，苹果iMessage不会禁用该链接，因此使用公司开放重定向更容易诱使用户不慎点击链接。 在纽约市的钓鱼活动中，点击链接会进入一个伪装成“纽约市财政局：停车和摄像头违规”的网站，提示用户输入姓名和邮政编码。 此时，用户可以输入任意姓名和邮政编码，随后将被引导至一个页面，声称“您的车辆在纽约市有未付的停车发票。为了避免每天35美元的滞纳金，请立即结算您的余额。” 所欠金额因活动而异，BleepingComputer收到的短信显示我们欠4.60美元。 从图片可以看出，这是一个骗局的明显迹象，因为美元符号显示在金额之后，而不是之前，这在美国是不寻常的。这进一步表明钓鱼诈骗是由美国以外的人创建的。 点击“现在处理”按钮会将用户引导至一个屏幕，诈骗者在此试图窃取用户的数据，包括姓名、地址、电话号码、电子邮件地址，最终还有信用卡信息。 这些信息随后可能被用于各种恶意活动，包括进一步的网络钓鱼攻击、身份盗窃、金融诈骗以及将数据出售给其他威胁行为者。 一般来说，如果您收到未知电话号码或电子邮件地址发来的短信，要求您点击链接、付款或以某种方式回应，您应该报告并封锁该号码，而不是轻信。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： YouTube 近日警告创作者，提防一种新的网络钓鱼骗局，诈骗者利用 AI 生成的首席执行官 Neal Mohan 视频来诱骗用户。骗子通过私密分享的方式传播伪造视频，谎称 YouTube 正在调整盈利政策，实则企图窃取用户凭据。 YouTube 表示：“YouTube 及员工不会通过私密视频联系用户或提供信息。如果你收到自称来自 YouTube 的私密视频，那就是一场网络钓鱼骗局。” 据外媒 The Verge 报道，近来，Reddit 上有用户报告称遇到类似骗局。一名用户透露，他们收到一封邮件，称“Notification for YouTube Creators”账户向其分享了一段私密视频，并要求下载恶意文件。另一名用户则表示，他们收到“Channel for Creators”分享的视频，被引导至一个伪造的 DocuSign 网站，同意所谓的新盈利政策。而这两封邮件的发件人均显示为看似官方的“no-reply@youtube.com”。 YouTube 进一步警告，诈骗者正利用平台功能伪装成官方账号，引导创作者点击恶意链接。这类骗局并不新鲜，早在 2023 年，就有 Reddit 用户发现过 Neal Mohan 的 AI 伪造视频。 为了防范这类骗局，YouTube 提供了以下建议： 不要点击不明链接：特别是那些通过私密视频或邮件发送的链接。 提高警惕：不要轻易相信未经验证的视频或邮件。 报告可疑活动：如果发现可疑的视频或邮件，及时向 YouTube 官方报告。 YouTube 还在其帮助中心提供了防范和举报钓鱼邮件的建议，并推出了新的支持助手，帮助用户恢复被黑客攻击的账户。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文