HackerNews 编译，转载请注明出处： Netskope 威胁实验室发现了一起广泛的钓鱼活动，该活动利用嵌入 PDF 文档中的伪造 CAPTCHA 图像来窃取信用卡信息和分发恶意软件。自 2024 年下半年以来，这场活动已经影响了超过 1150 个组织和 7000 名用户。 攻击者利用搜索引擎优化（SEO）技术，引诱受害者访问托管钓鱼 PDF 的恶意网站。这些 PDF 通常伪装成用户指南、手册、模板和表格，使用 “pdf”、“免费”、“下载” 和 “可打印” 等关键词。当受害者打开 PDF 时，会看到一个伪造的 CAPTCHA 图像，并被指示在运行窗口中复制和粘贴一个命令。该命令执行一个恶意的 PowerShell 脚本，下载并安装 Lumma Stealer 恶意软件。 这场钓鱼活动针对各个行业的组织，其中技术、金融服务和制造业受影响尤为严重。 该恶意软件使攻击者能够： 窃取存储的浏览器凭证 盗取加密货币钱包 截获银行凭证 捕获屏幕截图和键盘输入 鉴于其广泛的传播和隐蔽的感染链，Lumma Stealer 对个人用户和企业网络都构成了重大风险。 该活动已被观察到在 260 个独特的域名上进行，包括 Webflow、GoDaddy、Strikingly、Wix 和 Fastly 等热门内容交付网络。一些钓鱼 PDF 还被上传到在线库和 PDF 存储库，进一步扩大了攻击面。 Netskope 威胁实验室强调，从互联网下载 PDF 文件时，即使来自看似可信的来源，也应保持谨慎。用户应避免点击未知发件人的链接或打开附件，并在输入个人信息前始终仔细检查网站 URL。   消息来源：Security Online； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 近期，亚洲太平洋地区（APAC）的多个工业组织成为了针对性的网络钓鱼攻击的目标，攻击者试图通过这些攻击传播已知的恶意软件FatalRAT。 根据卡巴斯基ICS CERT的报告，攻击者利用了合法的中国云内容分发网络（CDN）myqcloud和有道云笔记服务作为攻击基础设施的一部分。 这些攻击主要针对马来西亚、中国、日本、泰国、韩国、新加坡、菲律宾、越南的政府机构和工业组织，特别是制造业、建筑业、信息技术、电信、医疗保健、电力和能源以及大规模物流和运输行业。 值得注意的是，FatalRAT的攻击活动之前曾利用虚假的Google广告作为传播媒介。 在2023年9月，Proofpoint记录了另一种电子邮件钓鱼活动，传播了包括FatalRAT、Gh0st RAT、Purple Fox和ValleyRAT在内的多种恶意软件家族。 这次攻击链的起点是一封包含中文文件名的ZIP压缩包的钓鱼邮件，解压后启动了第一阶段的加载程序，该加载程序请求有道云笔记以获取DLL文件和FatalRAT配置器。 配置器模块从note.youdao[.]com下载另一个笔记的内容，以访问配置信息。它还被设计为打开一个诱饵文件，以避免引起怀疑。 DLL是第二阶段的加载程序，负责从配置中指定的服务器（”myqcloud[.]com”）下载并安装FatalRAT有效载荷，同时显示关于应用程序运行问题的假错误消息。 该活动的一个重要特征是使用DLL侧加载技术来推进多阶段感染序列并加载FatalRAT恶意软件。 卡巴斯基表示，”攻击者使用黑白手法，利用合法二进制文件的功能，使事件链看起来像正常活动。” “攻击者还使用了DLL侧加载技术，以隐藏恶意软件在合法进程内存中的持久性。” FatalRAT是一种功能丰富的木马，能够记录键盘输入、破坏主引导记录（MBR）、开关屏幕、搜索和删除浏览器（如Google Chrome和Internet Explorer）中的用户数据、下载其他软件（如AnyDesk和UltraViewer）、执行文件操作、启动/停止代理，并终止任意进程。 目前尚不清楚使用FatalRAT进行攻击的幕后黑手是谁，尽管战术和工具的重叠表明”它们都反映了不同系列的攻击，某种程度上是相关的。”   消息来源：https://thehackernews.com/2025/02/fatalrat-phishing-attacks-target-apac.html； 卡巴斯基报告原文：https://ics-cert.kaspersky.com/publications/reports/2025/02/24/fatalrat-attacks-in-apac-backdoor-delivered-via-an-overly-long-infection-chain-to-chinese-speaking-targets/； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络犯罪分子现在可以利用 Darcula PhaaS 平台的最新版本 v3，在几分钟内克隆任何品牌的网站，进一步降低了大规模实施网络钓鱼攻击所需的技术门槛。 这一最新版本的网络钓鱼工具 “代表着犯罪能力的重大转变，降低了坏人针对任何品牌发起复杂、可定制网络钓鱼活动的门槛，” 网络安全公司 Netcraft 在一份新分析报告中指出。 Netcraft 表示，自 2024 年 3 月底首次曝光 Darcula 以来，已检测并阻止了超过 95,000 个新的 Darcula 网络钓鱼域名、近 31,000 个 IP 地址，并关闭了超过 20,000 个欺诈网站。 Darcula 最大的变化是允许任何用户按需生成任何品牌的网络钓鱼工具包。 “新的重制版本现已准备好进行测试，” 该服务的核心开发人员于 2025 年 1 月 19 日在一个拥有超过 1,200 名订阅者的 Telegram 频道中发布消息表示。 “现在，你还可以自己定制前端。使用 darcula-suite，你可以在 10 分钟内完成前端的制作。” 要做到这一点，客户只需在网页界面中提供要冒充品牌的 URL，平台将使用浏览器自动化工具（如 Puppeteer）导出 HTML 和所有所需资源。 用户随后可以选择要替换的 HTML 元素并注入网络钓鱼内容（例如支付表单和登录字段），使其与品牌登陆页面的外观和感觉相匹配。生成的网络钓鱼页面随后上传到管理面板。 “像任何 SaaS 产品一样，darcula-suite PhaaS 平台提供管理仪表板，使欺诈者可以轻松管理他们的各种活动，” 安全研究员 Harry Freeborough 表示。 “一旦生成，这些工具包将上传到另一个平台，犯罪分子可以在该平台上管理他们的活跃活动、查找提取的数据并监控已部署的网络钓鱼活动。” 除了提供展示网络钓鱼活动聚合性能统计信息的仪表板外，Darcula v3 还进一步提供了一种方法，将被盗的信用卡详细信息转换为受害者的虚拟卡片图像，可以扫描并添加到数字钱包中用于非法目的。具体来说，这些卡片被加载到一次性手机上并出售给其他犯罪分子。 该工具目前处于内部测试阶段。在 2025 年 2 月 10 日的后续帖子中，恶意软件作者发布消息表示：“我最近很忙，所以 v3 更新将推迟几天。”   消息来源：The Hacker News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一种新的 JavaScript 混淆方法利用隐形 Unicode 字符来表示二进制值，这种方法正在针对美国政治行动委员会（PAC）附属机构的网络钓鱼攻击中被积极利用。 Juniper Threat Labs 发现了这次攻击，报告称该攻击发生在 2025 年 1 月初，显示出高度复杂性，包括使用以下手段： 使用个性化非公开信息来针对受害者， 使用调试器断点和时间检查来规避检测， 使用递归包装的 Postmark 跟踪链接来掩盖最终的网络钓鱼目的地。 JavaScript 开发者 Martin Kleppe 于 2024 年 10 月首次披露了这种混淆技术，其在实际攻击中的快速采用突显了新研究如何迅速被武器化。 使 JS 负载“隐形” 这种新的混淆技术利用了隐形 Unicode 字符，特别是 Hangul 半角（U+FFA0）和 Hangul 全角（U+3164）字符。 JavaScript 负载中的每个 ASCII 字符都被转换为 8 位二进制表示，其中的二进制值（1 和 0）被替换为隐形的 Hangul 字符。 混淆后的代码存储为 JavaScript 对象的一个属性，由于 Hangul 填充字符显示为空白，脚本中的负载看起来是空的，如下图所示。 空白处隐藏恶意代码 一个简短的引导脚本使用 JavaScript Proxy 的 get() trap 来检索隐藏的负载。当访问隐藏属性时，Proxy 将隐形的 Hangul 填充字符转换回二进制，并重建原始的 JavaScript 代码。 Juniper 的分析师报告称，攻击者除了上述手段外，还采取了额外的隐藏步骤，例如使用 base64 编码脚本和使用反调试检查来规避分析。 “这些攻击高度个性化，包括非公开信息，初始 JavaScript 会尝试在被分析时调用调试器断点，检测到延迟后，然后通过重定向到良性网站来中止攻击，”Juniper 解释道。 这些攻击难以检测，因为空白减少了安全扫描器将其标记为恶意的可能性。 由于负载只是对象中的一个属性，它可以被注入到合法脚本中而不引起怀疑；此外，整个编码过程易于实现，不需要高级知识。 Juniper 表示，此次活动中使用的两个域名此前与 Tycoon 2FA 网络钓鱼工具包有关。 如果是这样，我们可能会在未来看到这种隐形混淆方法被更广泛的攻击者采用。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Cofense 的网络钓鱼防御中心（PDC）发现了一起网络钓鱼活动，该活动利用合法的 Microsoft 登录页面诱骗用户授予对恶意 “Adobe Drive X” 应用的访问权限。该应用随后将受害者重定向到一个伪造的 Microsoft 登录页面，旨在窃取其凭据。 攻击从一封伪装成 Office 365 密码重置请求的网络钓鱼邮件开始。邮件中包含一个链接，指向一个真正的 Microsoft 认证页面，使攻击显得更具说服力。然而，一旦用户在该合法页面输入凭据，他们就会被提示授予对一个名为 “Adobe Drive X” 的自定义 Microsoft 365 应用的权限。 攻击者的狡猾策略在此处显现。通过请求通过一个看似无害的与 Adobe 相关的应用程序访问，他们利用了用户对 Microsoft 和 Adobe 的信任。该应用请求访问用户的电子邮件地址和基本个人资料信息，进一步增加了其合法性的伪装。 如果用户接受了这些权限，他们将被重定向到一个旨在模仿 Microsoft 登录页面的凭据网络钓鱼页面。该页面并未托管在 Microsoft 域名上，但不知情的用户可能会忽略这一关键细节，尤其是在之前通过合法的 Microsoft 页面成功登录后。 “攻击者很可能将此凭据网络钓鱼尝试放在一个合法的 Microsoft 365 登录页面之后，以出其不意地攻击用户，”Cofense 在其报告中解释道。“不太警惕的用户可能不会验证第二个登录页面的 URL，并成为凭据网络钓鱼攻击的受害者。” 用户应始终仔细检查 URL，警惕授予未知应用程序的权限，并报告任何可疑活动。   消息来源：Bleeping Computer；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Cloudflare 在其 R2 对象存储平台中试图封堵一个网络钓鱼 URL 时出现失误，引发了一场大规模故障，导致多个服务在近一个小时内瘫痪。 Cloudflare R2 是一种类似于亚马逊 S3 的对象存储服务，旨在提供可扩展、耐用且低成本的数据存储。它提供免费的数据检索、S3 兼容性、跨多个地点的数据复制以及 Cloudflare 服务集成。 故障发生在昨天，当时一名员工响应了一起关于 Cloudflare R2 平台中网络钓鱼 URL 的滥用报告。然而，该员工并未封堵特定端点，而是错误地关闭了整个 R2 网关服务。 Cloudflare 在事后分析中解释道：“在一次常规的滥用补救过程中，由于处理投诉时的失误，意外禁用了 R2 网关服务，而非与报告相关的特定端点/存储桶。” “这是多个系统级控制（首先是）和操作员培训的失败。” 该事件持续了 59 分钟，从世界协调时 08:10 到 09:09，除了 R2 对象存储本身外，还影响了以下服务： Stream – 视频上传和流媒体传输 100% 失败。 Images – 图像上传/下载 100% 失败。 Cache Reserve – 操作 100% 失败，导致源请求增加。 Vectorize – 查询失败 75%，插入、更新和删除操作 100% 失败。 Log Delivery – 延迟和数据丢失：与 R2 相关的日志数据丢失高达 13.6%，非 R2 交付作业的数据丢失高达 4.5%。 Key Transparency Auditor – 签名发布和读取操作 100% 失败。 还有一些间接影响的服务出现了部分故障，例如 Durable Objects，由于恢复后的重新连接，其错误率增加了 0.09%；Cache Purge 错误增加了 1.8%（HTTP 5xx），延迟飙升了 10 倍；Workers & Pages 的部署失败率为 0.002%，仅影响具有 R2 绑定的项目。 Cloudflare 指出，人为错误以及缺乏诸如高影响操作的验证检查等防护措施是此次事件的关键原因。 这家互联网巨头现已实施了即时修复措施，例如在滥用审查界面中移除关闭系统的能力，以及在管理 API 中对内部账户的服务禁用进行限制。 未来还将实施的额外措施包括改进账户配置、更严格的访问控制，以及对高风险操作的双人审批流程。 2024 年 11 月，Cloudflare 曾经历另一次长达 3.5 小时的显著故障，导致服务中 55% 的日志不可逆丢失。 那次事件是由 Cloudflare 日志处理管道中的一个关键组件被错误配置引发的级联故障。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

CloudSEK 的一份新报告显示，威胁行为者正在利用 Zendesk 的免费试用版创建令人信服的网络钓鱼活动。 Zendesk 为其平台提供免费试用，允许用户注册自定义子域。虽然这一功能旨在增强合法企业的能力，但它已被威胁行为者所利用。据报告称，“在过去 6 个月中，有几家客户通过 XVigil 的虚假 URL 和网络钓鱼子模块发现了此类可疑域名”。这些子域模仿合法品牌的名称，将与品牌相关的关键词与数字字符串相结合，欺骗毫无戒心的用户。 虽然目前还没有活动活动的记录，但 CloudSEK 的分析师已经展示了一种潜在的攻击方法。这种战术被称为 “诱饵与转换模式”，其中包括 子域名注册： 攻击者模仿目标公司的品牌注册 Zendesk 子域名。 钓鱼页面集成： 这些子域经过定制，包含伪装成票务系统或支持表单的钓鱼页面。 利用电子邮件信任： Zendesk 生成的电子邮件可直接进入收件人的主要收件箱，由于其可感知的合法性而绕过垃圾邮件过滤器。 使用图片截屏链接钓鱼页面 | 来源：CloudSEK 其中一种情况是发送伪装成票单分配邮件的网络钓鱼页面。报告指出：“所有电子邮件通信（票据）都会登陆主收件箱，而不是被标记为垃圾邮件。这一点相当令人担忧，因为员工可能会误以为由可信机构分发的类似脉络的精心策划的活动。” 这些攻击的主要目的是窃取登录凭证或财务数据等敏感信息。这可能会给个人和组织带来重大经济损失和声誉损害。 CloudSEK 敦促组织和个人保持警惕。将未知 Zendesk 实例列入黑名单并教育员工了解常见的网络钓鱼策略有助于降低风险。   转自安全KER，原文链接：https://www.anquanke.com/post/id/303744 封面来源于网络，如有侵权请联系删除

HackerNews 编译，转载请注明出处： 俄罗斯黑客组织Star Blizzard已被关联到一起新的钓鱼攻击活动，该活动瞄准受害者的WhatsApp账户，这标志着其可能为了逃避检测而改变了长期以来的作案手法。 微软威胁情报团队在与The Hacker News分享的一份报告中称：Star Blizzard的目标通常与政府或外交部门（包括现任和前任官员）、国防政策或涉及俄罗斯的国际关系研究人员，以及与俄乌战争相关的对乌克兰援助方有关。 Star Blizzard（原名SEABORGIUM）是一个与俄罗斯有关联的威胁活动集群，以凭证收集活动而闻名。该组织自2012年至少就已开始活跃，还曾被追踪为Blue Callisto、BlueCharlie（或TAG-53）、Calisto（或Callisto的另一种拼写）、COLDRIVER、Dancing Salome、Gossamer Bear、Iron Frontier、TA446和UNC4057等别名。 此前观察到的攻击链涉及向感兴趣的目标发送钓鱼邮件，通常来自Proton账户，邮件附件中包含恶意链接，这些链接会重定向到由Evilginx支持的页面，该页面能够通过中间人（AiTM）攻击收集凭证和二次验证（2FA）代码。 Star Blizzard还被关联到使用HubSpot和MailerLite等电子邮件营销平台来隐藏真实的电子邮件发件人地址，并避免在电子邮件消息中包含由黑客控制的域名基础设施。 去年年底，微软和美国司法部（DoJ）宣布查封了180多个域名，这些域名被该威胁组织用于在2023年1月至2024年8月期间瞄准记者、智库和非政府组织（NGO）。 这家科技巨头评估认为，对其活动的公开披露可能促使黑客团队通过攻击WhatsApp账户来改变策略。也就是说，该活动似乎规模有限，并在2024年11月底结束。 微软威胁情报战略总监Sherrod DeGrippo告诉The Hacker News：“目标主要属于政府和外交部门，包括现任和前任官员。” “此外，目标还包括涉及国防政策的人员、专注于俄罗斯的国际关系研究人员以及与俄乌战争相关的对乌克兰援助方。” 这一切始于一封自称来自美国政府官员的钓鱼邮件，以赋予其合法性，并增加受害者与其互动的可能性。 邮件中包含一个快速响应（QR）码，敦促收件人加入一个所谓的WhatsApp群组，讨论“最新的非政府组织支持乌克兰NGO的倡议”。然而，该代码是故意损坏的，以触发受害者的回复。 如果邮件收件人回复，Star Blizzard会发送第二条消息，要求他们点击一个t[.]ly缩短的链接加入WhatsApp群组，并为此带来的不便表示歉意。 微软解释道：“点击此链接后，目标会被重定向到一个网页，要求他们扫描二维码加入群组。然而，这个二维码实际上被WhatsApp用于将账户连接到链接的设备或WhatsApp网页版。” 如果目标按照网站（“aerofluidthermo[.]org”）上的指示操作，这种方法将允许威胁组织未经授权地访问其WhatsApp消息，甚至通过浏览器插件将数据外泄。 建议属于Star Blizzard目标行业的个人在处理包含外部链接的邮件时保持警惕。 该活动“标志着Star Blizzard长期以来的TTP（战术、技术和程序）的一次中断，并凸显出该威胁组织在持续进行钓鱼攻击以获取敏感信息方面的坚韧不拔，即使其行动多次遭到破坏也是如此”。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发出警告，一项新的恶意广告活动正针对通过谷歌广告进行宣传的个人和企业，试图通过谷歌上的欺诈广告进行网络钓鱼，窃取他们的登录凭证。 Malwarebytes威胁情报高级总监Jérôme Segura在一份与The Hacker News共享的报告中指出：“该诈骗方案通过冒充谷歌广告，诱骗受害者访问假冒的登录页面，从而窃取尽可能多的广告主账户。” 据推测，该活动的最终目的是利用窃取的凭证继续扩大诈骗活动，同时还在地下论坛上将这些凭证出售给其他犯罪分子。根据Reddit、Bluesky和谷歌官方支持论坛上的帖子，这一威胁自2024年11月中旬以来便已开始活跃。 这一系列活动与利用窃取器恶意软件窃取与Facebook广告和商业账户相关的数据，以劫持这些账户并用于推送进一步传播恶意软件的恶意广告活动的行为极为相似。 新发现的诈骗活动专门针对在谷歌搜索引擎上搜索谷歌广告的用户，向他们展示虚假的谷歌广告，点击后会将用户重定向到托管在Google Sites上的欺诈网站。 这些网站作为着陆页，引导访问者访问外部钓鱼网站，这些网站通过WebSocket捕获他们的登录凭证和二次验证码（2FA），并将其传输到攻击者控制的远程服务器上。 Segura表示：“这些假冒的谷歌广告来自不同地点和行业的个人和企业（包括一家地区机场）。其中一些账户已有数百条其他合法广告在运行。” 该诈骗活动的一个巧妙之处在于，它利用了谷歌广告不要求最终URL（用户点击广告后到达的网页）与展示URL必须相同（只要域名匹配）的规则。 这使得威胁分子可以在sites.google[.]com上托管他们的中间着陆页，同时保持展示URL为ads.google[.]com。此外，他们的作案手法还包括使用指纹技术、反爬虫流量检测、受验证码启发的诱饵、伪装和混淆等技术来隐藏钓鱼基础设施。 Malwarebytes表示，窃取的凭证随后被用于登录受害者的谷歌广告账户，添加新的管理员，并利用他们的预算发布虚假的谷歌广告。 换句话说，威胁分子正在接管谷歌广告账户来推送自己的广告，以便将新受害者添加到不断增长的被黑客攻击的账户池中，这些账户被用于进一步延续诈骗活动。 Segura说：“这些活动背后似乎有几个个人或团体。值得注意的是，他们中的大多数是葡萄牙语使用者，可能位于巴西。钓鱼基础设施依赖于使用.pt顶级域名（TLD）的中间域名，这表明与葡萄牙有关。” “这种恶意广告活动并不违反谷歌的广告规则。威胁分子被允许在广告中显示欺诈性URL，使其与合法网站难以区分。谷歌尚未表明它采取了决定性措施来冻结这些账户，直到其安全性得到恢复。” 这一披露之际，Trend Micro透露，攻击者正在利用YouTube和SoundCloud等平台分发指向假冒安装程序的链接，这些安装程序针对的是流行软件的盗版版本，最终会导致部署各种恶意软件家族，如Amadey、Lumma Stealer、Mars Stealer、Penguish、PrivateLoader和Vidar Stealer。 该公司表示：“威胁分子经常使用Mediafire和Mega.nz等可信赖的文件托管服务来隐藏恶意软件的来源，并使检测和清除变得更加困难。许多恶意下载都受到密码保护并进行了编码，这在沙箱等安全环境中增加了分析的复杂性，并使恶意软件能够逃避早期检测。”   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络犯罪分子正利用一种手段，关闭苹果iMessage针对短信的内置防钓鱼保护机制，并诱骗用户重新启用被禁用的钓鱼链接。 随着我们越来越多的日常活动，如支付账单、购物或与朋友和同事交流，都是通过移动设备完成的，威胁行为者针对手机号码的短信网络钓鱼（smishing）攻击日益增多。 为保护用户免受此类攻击，苹果iMessage会自动禁用来自未知发件人（无论是电子邮件地址还是电话号码）的消息中的链接。 然而，苹果向BleepingComputer透露，如果用户回复该消息或将发件人添加到联系人列表中，链接将被启用。 过去几个月，BleepingComputer发现，试图诱骗用户回复短信以重新启用链接的短信网络钓鱼攻击激增。 如下所示，一条假冒的美国邮政服务（USPS）运输问题短信和一条假冒的未支付道路通行费短信均由未知发件人发送，而iMessage自动禁用了这些链接。 含有禁用链接的短信网络钓鱼攻击（来源：BleepingComputer） 虽然这些钓鱼诱饵并非新鲜事物，但我们注意到，这些短信网络钓鱼文本以及最近发现的其他文本都要求用户回复“Y”以启用链接。 短信网络钓鱼消息中写道：“请回复Y，然后退出短信，重新打开短信激活链接，或将链接复制到Safari浏览器打开。” 进一步研究表明，这种策略在过去一年中已被使用，自夏季以来更是激增。 由于用户已习惯于输入STOP、Yes或NO来确认预约或选择不接收短信，威胁行为者希望这种熟悉的行为会促使短信接收者回复短信并启用链接。 这样做将重新启用链接，并关闭此短信的iMessage内置防钓鱼保护机制。 即使用户没有点击现在已启用的链接，回复的行为也告诉威胁行为者，他们现在有一个会对钓鱼短信作出回应的目标，从而使其成为更大的目标。 虽然我们的大多数常规读者都能识别出这些是钓鱼攻击，但BleepingComputer的一位年长的家庭朋友向我们展示了上述短信之一，他不确定其是否合法。 不幸的是，这类人通常是这类钓鱼短信的目标，导致他们输入个人信息、信用卡信息或其他攻击者随后会窃取的信息。 如果您收到链接被禁用或来自未知发件人要求您回复的短信，强烈建议您不要回复。 相反，请直接联系公司或组织以验证短信内容，并询问是否还有其他需要您做的事情。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文