近日，一个名为 “0.0.0.0 Day “的重大安全漏洞在网络安全社区中引发了巨大反响，该漏洞导致数百万使用 Chrome、Firefox 和 Safari 等流行浏览器的用户受到潜在攻击。同时，该漏洞还允许恶意行为者访问私人网络（特别是 “本地主机”）中设备上存储的文件、信息、凭证和其他敏感数据。 什么是 0.0.0.0 Day漏洞？ 0.0.0.0 Day漏洞是以色列网络安全初创公司 Oligo 新发现的漏洞，攻击者能够在补丁可用之前利用该漏洞。 这个漏洞是一个涉及 IP 地址 0.0.0.0 的0-Day漏洞。该漏洞被研究人员称为”0.0.0.0 Day”，它暴露了浏览器处理网络请求时的一个漏洞，可被滥用来访问敏感的本地服务。 这是一个存在多年的漏洞。研究人员发现，早在 2006 年就有报告称存在涉及 IP 地址的安全问题。 图解公共网络如何使用 0.0.0.0 地址与专用网络和本地设备通信，来源：Oligo 正如报告中所提到的，该漏洞的技术细节涉及恶意网站欺骗浏览器，允许浏览器与运行在用户本地机器（localhost）上的 API（应用程序编程接口）进行交互。 这些 API 通常是为应用程序内部通信而设计的，不应该从网站等外部来源访问。这些网站只需瞄准 0.0.0.0，而不是 localhost/127.0.0.1，就有可能在访问者的硬件上执行代码。通过利用 0.0.0.0 Day漏洞，攻击者有可能在未经授权的情况下访问存储在用户计算机上的敏感信息、窃取数据甚至启动恶意软件。 这项研究进一步凸显了浏览器安全漏洞十分令人担忧的现状。浏览器的设计目的是作为用户与潜在有害在线内容之间的屏障。然而，0.0.0.0 Day漏洞暴露了浏览器处理网络请求的弱点。不同浏览器在安全机制上的不一致性，可能会让恶意行为者访问用户的本地网络和在其上运行的服务。 与 0.0.0.0 通信的网站数量，来源：Oligo 对市面上主流浏览器带来巨大影响 研究人员发现，几乎市面上的所有浏览器都可能受到该漏洞的影响，所以作为负责任披露的一部分，所有相关公司都已被告知，目前这些公司也都做出了相应的应对措施，具体如下： Chrome 0-Day漏洞： 谷歌 Chrome 浏览器是全球最流行的浏览器，无疑是攻击者的首要目标。如果成功利用0.0.0.0 Day漏洞，攻击者就可以绕过 Chrome 浏览器的安全机制，访问用户的本地网络。这可能会暴露存储在用户计算机上的敏感数据，如果用户是远程办公，还可能危及企业网络，甚至为安装恶意软件提供便利。 火狐0-Day漏洞： 火狐浏览器虽然不像 Chrome 浏览器那样被广泛使用，但仍然是许多用户的首选。成功利用 0.0.0.0 Day漏洞可能会给 Firefox 用户带来类似的后果。攻击者有可能访问本地网络、窃取数据或发起恶意软件攻击。 Safari 0-Day漏洞：苹果公司的 Safari 浏览器是苹果设备上的默认浏览器，也有可能受到 0.0.0.0 Day 漏洞的攻击。虽然苹果公司以强大的安全性著称，但这一漏洞凸显了时刻保持警惕的必要性。成功的漏洞利用可能会让攻击者访问用户 Mac 或 iOS 设备上的本地网络，从而可能泄露敏感数据或为进一步攻击提供便利。 针对这一安全漏洞，苹果和谷歌更新了正在努力解决这一问题的方法。报告显示，在即将发布的 macOS 15 Sequoia 测试版中，苹果 Safari 将阻止所有查询 0.0.0.0 IP 地址的尝试。同样，谷歌 Chrome 浏览器的安全团队也在努力修复漏洞。谷歌正在推出阻止访问 0.0.0.0 的更新，预计将在 Chrome 133 中完全实施。 微软已经在 Windows 操作系统中阻止了对 0.0.0.0 IP 地址的访问。然而，Mozilla 采取了不同的立场。Mozilla 发言人表示，担心实施更严格的限制可能会带来严重的兼容性问题。由于有关标准的讨论和对这些兼容性风险的评估仍在进行中，火狐尚未实施拟议的限制。相反，Mozilla 计划继续参与这一进程，以确保采取一种平衡的方法。 0.0.0.0 Day 漏洞的发现凸显了在日益复杂的威胁环境中维护浏览器安全所面临的持续挑战。浏览器开发商必须继续投资研发，时刻领先于网络犯罪分子。同时，用户也必须保持警惕，以保护自己免受新威胁的侵害。   转自Freebuf，原文链接：https://www.freebuf.com/news/408169.html 封面来源于网络，如有侵权请联系删除

近日，Palo Alto Networks的研究人员发现，一个被称为Fighting Ursa（也被称作APT28、Fancy Bear或Sofacy）的与俄罗斯有关联的威胁行为者，通过发布虚假的汽车销售广告来传播HeadLace后门恶意软件，主要针对外交官。 这场活动始于2024年3月，攻击者采用了多年来对外交官有效的网络钓鱼策略，利用能够吸引目标的敏感主题发起攻击，并依赖于公共和免费的服务来托管攻击的各个阶段。 2023年4月到12月期间，该APT分三个不同阶段部署 Headlace，分别使用网络钓鱼、被破坏的互联网服务和本地二进制文件。而这些凭据收集页面旨在针对乌克兰国防部、欧洲交通基础设施和阿塞拜疆的一个智库，通过在合法服务和被破坏的Ubiquiti路由器之间转发请求，绕过双因素认证和CAPTCHA挑战。 乌克兰国防部和欧洲铁路系统的相关网络被破坏后，攻击者能够收集情报以影响战场战术和更广泛的军事战略。此外，他们对阿塞拜疆经济和社会发展中心的兴趣也表明他们有意了解并影响地区政策。Insikt Group推测这次行动旨在影响地区和军事动态。 今年5月，Fighting Ursa利用合法服务Webhook.site通过托管恶意HTML页面启动了感染链，该页面在2024年3月14日提交给VirusTotal，其中包含用于确定访问者的计算机是否运行Windows的脚本。非Windows用户会被重定向到ImgBB上托管的诱饵图片。 HTML 还从 Base64 文本中创建了一个 ZIP 压缩包供下载，并利用 JavaScript 自动完成该过程。攻击者使用了一张奥迪Q7 Quattro SUV的图片作为诱饵，虚假宣传它是“外交用车出售”，其中包括虚假的联系方式以增加网络钓鱼计划的可信度。 ZIP归档包含三个文件：一个伪装成图像文件的合法Windows计算器可执行文件calc.exe（”IMG-387470302099.jpg.exe”），一个DLL文件（”WindowsCodecs.dll”），以及一个批处理文件（”zqtxmo.bat”）。 IMG-387470302099.jpg.exe文件用于加载WindowsCodecs.dll，这是HeadLace后门的一部分，可运行批处理脚本。该脚本执行了一个Base64编码的命令，从另一个webhook[.]site URL检索文件。 Palo Alto Networks的分析报告指出：“批处理文件将从第二个Webhook.site URL下载的内容保存在用户的下载目录中为IMG387470302099.jpg，然后将其移动到%programdata%目录，并更改文件扩展名从.jpg到.cmd。最后，批处理文件执行IMG387470302099.cmd，然后删除自身，以消除恶意活动的明显痕迹。” 专家认为，Fighting Ursa组织将继续在其攻击基础设施中使用合法的网络服务。 Recorded Future的一份最新报告也指出，该组织使用的基础设施一直在不断变化和发展。其他行业报告也展示了该组织在尝试投放HeadLace恶意软件时使用的各种诱饵。 为了防御此类攻击，建议限制对这些类似托管服务的访问，并仔细审查这些免费服务的使用，以识别可能的攻击载体。   转自Freebuf，原文链接：https://www.freebuf.com/articles/407808.html 封面来源于网络，如有侵权请联系删除

一种被研究人员称为”BingoMod”的新型安卓恶意软件，在成功利用设备上的欺诈技术从受害者的银行账户中窃取资金后，可以清除设备数据。 BingoMod通过短信推广，通常伪装成一个合法的移动安全工具，每次交易最多可窃取15000欧元。根据研究人员的分析，BingoMod目前正在积极开发中，其开发者专注于添加代码混淆和各种逃避机制，以降低被检测率。 BingoMod的详细信息 在线欺诈管理和预防解决方案公司Cleafy的研究人员发现，BingoMod是通过smishing（短信钓鱼）活动传播的，并使用通常表明移动安全工具的各种名称（例如APP Protection, Antivirus Cleanup, Chrome Update, InfoWeb, SicurezzaWeb, WebSecurity, WebsInfo, WebInfo, APKAppScudo）。 为了在设备上进行欺诈（ODF），恶意软件建立了一个基于套接字的通道来接收命令，以及一个基于HTTP的通道来发送屏幕截图源，从而实现几乎实时的远程操作。 虚拟网络计算 （VNC） 机制和数据交换 来源：Cleafy ODF是一种从受害者的设备发起欺诈交易的常用技术，可以骗过依赖身份验证和认证的标准反欺诈系统。 Cleafy研究人员在报告中解释说，“VNC程序滥用安卓的Media Projection API来获取实时屏幕内容。一旦接收到这些内容，就会将其转换为合适的格式，并通过HTTP传输到威胁行为者的基础设施。” 该程序的一个特点是，它可以利用无障碍服务“冒充用户并启用由Media Projection API公开的屏幕投影请求。” BingoMod 的 VNC 路由器 来源：Cleafy 远程操作者可以向BingoMod发送的命令包括点击特定区域、在指定的输入元素上写文本和启动应用程序。 该恶意软件还允许通过威胁行为者发起的虚假通知手动进行覆盖攻击。此外，感染了BingoMod的设备还可以通过短信进一步传播恶意软件。 禁用防御和清除数据 BingoMod可以从受害者的设备中移除安全解决方案或阻止威胁行为者在命令中指定的应用程序的活动。 为了逃避检测，BingoMod的创建者添加了代码扁平化和字符串混淆层，根据VirusTotal上的扫描结果，实现了预期的目标。 VirusTotal 扫描结果 来源：Cleafy 如果BingoMod作为设备管理应用程序注册在设备上，操作者就可以发送远程命令来清除系统。根据研究人员的说法，这个功能只有在成功转账后才会执行，并且只影响外部存储。 数据清除程序 来源：Cleafy 如果要彻底清除系统，威胁行为者可能使用远程访问功能从系统设置中清除所有数据并重置手机。 虽然BingoMod目前的版本是1.5.1，但Cleafy表示它似乎处于早期开发阶段。根据代码中的注释，研究人员认为BingoMod可能是罗马尼亚开发者的作品。不过，也有可能是其他国家的开发者所为。   转自Freebuf，原文链接：https://www.freebuf.com/news/407491.html 封面来源于网络，如有侵权请联系删除

据BleepingComputer消息，一名澳大利亚男子被澳大利亚联邦警察（AFP）指控涉嫌在珀斯、墨尔本和阿德莱德的各种国内航班和机场，以伪造虚假WIFI的形式窃取他人的电子邮件或社交媒体凭证。 该男子42岁，通过便携式设备模仿航空公司及飞机上提供的官方WIFI名称建立虚假网络，当用户尝试连接时会被定向到虚假登录页面或强制门户网页，要求他们使用电子邮件地址、密码或其他凭证登录。 据法新社报道，警方在接到一家航空公司航班上出现可疑WIFI网络的报告后，于2024年4月展开调查，并于当月19日他准备乘飞机返回珀斯机场时将其逮捕，并现场从手提行李中查获了一个便携式无线接入设备、一台笔记本电脑和一部手机。 警方对查获的设备进行了分析，发现了数十个属于其他人的个人凭证以及欺诈性WiFi页面。这些凭证可用于访问更多个人信息，包括受害者的在线通信、存储的图像和视频以及银行账户信息。 2024年5月，警方正式对这名男子提出了指控，目前对该男子的的违法犯罪活动还在进一步调查中，该男子已于2024年6月28日在珀斯地方法院出庭，并面临多项指控： 未经授权破坏电子通信，最高可判处 10 年监禁； 拥有数据控制权，意图实施严重犯罪，最高可判处 3 年监禁； 未经授权访问或修改受限数据，最高可判处 2 年监禁； 以不正当手段获取或处理个人财务信息，最高可判处 5 年监禁； 持有身份信息意图犯罪，最高可判处 3 年监禁。 法新社西部司令部网络犯罪侦探督察安德里亚·科尔曼（Andrea Coleman）表示，此案是一个及时的警告，要谨慎登录任何公共WIFI网络，避免输入个人敏感信息。 他还建议在公共场合外出时关闭手机或其他电子设备上的WiFi，以防止设备自动连接到不安全的热点。   转自Freebuf，原文链接：https://www.freebuf.com/news/404900.html 封面来源于网络，如有侵权请联系删除

近年来，合成身份欺诈者以汽车贷款行业为最大目标，导致 2023 年汽车贷款行业的欺诈尝试增加了 98%，损失高达 79 亿美元。Point Predictive 对 1.8 亿份贷款申请的研究发现，收入和就业信息不实、合成身份和信用洗白几乎占汽车贷款机构面临风险的 75%。 这些不实际的情况通常与第一方欺诈有关，涉及借款人实施欺诈，而非第三方骗子。报告称，虽然身份盗窃占 2023 年所有风险的 14%，但它只占汽车行业贷款人所面临的总体挑战的一小部分。 随着越来越多的贷款机构和经销商将申请流程转移到网上，他们面临的风险可能影响到了线上商家，包括虚假身份、欺诈服务和可以同时申请多项贷款的申请机器人。其他挑战还包括复杂的信用修复计划的扩散，如预制信用隐私号码（或 CPN）、信用洗白、虚构雇主和出售虚假交易线的行为。 合成身份证和信用洗白 研究显示，合成身份欺诈率稳步上升。到 2023 年第四季度，平均合成身份尝试率上升到 83 个基点，表明每 120 份汽车贷款申请中就有 1 份提交了虚构的信用档案。导致合成档案激增的多重因素包括：被盗身份的使用日益增多、合成身份欺诈从其他行业转移到更具吸引力的汽车金融领域，以及向消费者出售 CPN 的情况增多。 需要注意的是，越来越多的数据泄露事件针对保险、医疗和政府部门，但这些泄露的数据也会被用在其他行业。汽车欺诈的新趋势源于人们追求高额信用额度的诱惑，以及通过在线方式轻松获取汽车贷款而无需亲自去经销商那里。 同时，一些信用修复公司洗白信用的做法也很普遍。所谓 “信用洗白”，就是有计划地对信用报告中的所有负面记录提出异议，不是说这些记录有错误，而是宣称这些负面记录是身份盗窃造成的。信用修复公司会告诉消费者向联邦贸易委员会提交一份虚假文件，并利用这些文件来否认所有负面记录，声称自己是身份盗窃的受害者。 长期存在的虚假雇主问题 汽车贷款行业中的欺诈活动并非都涉及合成身份欺诈等复杂方案。通常情况下，借款人会夸大自己的收入或虚报自己的财务状况，以增加获得贷款的机会。有些欺诈者还会利用空壳公司制造虚假的就业证明。报告指出，在该行业中流通的虚假公司超过 1.1 万家。虽然看起来无害，但有 40% 的贷款是通过虚假雇主获得的，最终导致借款人无意还款而被追偿。 报告还强调，欺诈即服务平台让人们很容易地接触到虚假雇主，从而购买到虚假的就业证明。这些平台提供伪造的工资单、运营专门的网站并提供电话支持，以假乱真地确认就业情况。 暗网趋势 Telegram 帮助人们以低至 150 美元的价格轻松获得欺诈即服务功能。报告还指出了一种名为“预制 CPNs ”的新服务，对于在地下渠道中运作的骗子和合成身份盗窃者来说，这已经被证明是一个赚钱的大门路。只要支付一定的费用，个人就能获得诈骗团伙的服务，以虚假借口获得贷款。 在过去一年中，Telegram 上的广告数量大幅增加。预制 CPNs 是模板式的虚假信用档案，已经创建并存放了三年。预制 CPNs 与标准 CPNs 的区别在于，预制 CPNs 通常使用通用名称创建，并被允许存放，使它们成为绕过汽车贷款机构合成身份检测系统的理想选择。报告指出，标准 CPNs 的售价为 80 至 100 美元，而预制 CPNs 在 Telegram 频道上的售价为 750 美元或更高。   转自Freebuf，原文链接：https://www.freebuf.com/news/400750.html 封面来源于网络，如有侵权请联系删除 

由于近来网络诈骗较为猖獗，一些国家民众尤其是老年人难以具备充足的辨别能力，成为了网络诈骗分析的重点“集火”对象。对此，日本警方推出了一种假冒的”诈骗支付卡“，以提醒老年人不要上当受骗。 据BleepingComputer的消息，这种卡片表面标有“病毒特洛伊木马清除支付卡”和“未付账单滞纳金支付卡”，目前已由日本福井县越前警察局制作并投放在了当地34家便利店。 对此，这些便利店员工已被告知这类卡片的用意，当有顾客购买卡片时，会提醒他们已成为网络诈骗的目标。由于这项计划对便利店员工出台了激励机制，使得执法部门能够更加有效地识别受害者并对骗局展开更深入的调查。 卡片样式 由于各种形式的网络欺诈，福井县在2023年遭受了约750万美元的经济损失。2024 年 1 月就接到了 14 起关于投资诈骗的投诉，估计损失为70万美元。 当地媒体 Fukuishimbun 报道称，自 2023 年 11 月下旬以来，这一计划已经帮助了至少两名老年受害者，他们被诈骗分子谎称电脑中了病毒，要付费清理系统。 由于这些卡片上的特定信息，受害者很可能会认为它们是预付卡。曾帮助过上述其中一位老人的便利店员工田中弥生（Yayoi Tanaka）表示，这些假卡可以更容易地向他们解释自己正落入诈骗者的圈套。   转自Freebuf，原文链接：https://www.freebuf.com/news/399593.html 封面来源于网络，如有侵权请联系删除

日前，北京警方和国家外汇管理局北京市分局联合破获了涉虚拟货币的连环案件，涉案金额超过20亿元，共涉及包括北京、上海、浙江等15个省市。值得注意的是，本案不仅犯罪手段隐蔽多样，还是“连环案”，从暗网交易到非法买卖外汇，错综复杂。 北京警方此前接到线索，称有人利用“暗网”和虚拟货币传递信息并进行虚拟货币交易，特别是非法售卖我国公民的各类隐私信息。 北京市公安局经侦总队办案人员 梁飞：有人在境外利用境外聊天软件组成了多个群组，在群组内公然售卖公民个人信息，涉及公民的身份证号、手机号、家庭住址等。 售卖信息的群组成员高达数百人，群组内累计贩卖公民个人信息高达上亿条，交易方式严格限定只通过虚拟货币完成。警方初步判断，在买家中，极有可能包含境外机构，一旦我国公民的隐私数据大量流向境外，被不法分子利用，将会造成严重后果。 北京市公安局经侦总队办案人员 梁飞：境外的诈骗团伙就能利用这些真实的公民个人信息对普通老百姓进行“精准”诈骗，甚至有一些网络赌博网站，它们筛选到了一些高净值人员的群体，它们会向这些人员群体的手机发送这种网站的链接，从而实施犯罪行为。 高薪诱惑 1年内疯狂洗钱超20亿 办案民警发现，犯罪嫌疑人闫某某在售卖公民信息过程中，全部通过虚拟货币进行交易结算。在虚拟货币兑换现金过程中，数额特别巨大，这也引起了警方的注意。 北京市公安局海淀分局经济犯罪侦查支队办案人员 卢楠：（经查）他（兑换者）的资金来源非常复杂，并不是单一来源，资金成分比较复杂，他与一般的炒币用户有极大的不同，他使用虚拟币的特点属于快进快出、整进整出，所以我们推断他本身不属于炒币用户，更倾向于地下钱庄的洗钱分子。 警方继续追查，给闫某某兑换资金的林某某，长期使用虚拟货币从事非法买卖外汇违法犯罪行为。可是深入调查，林某某也并不是这个犯罪团伙的真正“幕后黑手”，背后还另有“上线”，而且林某某和“上线”在此前，并不认识。 林某某供述中的“上线”，一直身处境外进行遥控。“上线”从一开始就以高额回报作为诱饵，诱惑林某某帮助其在境内从事不法行为，更恶劣的是，“上线”还怂恿林某某主动充当“犯罪帮凶”继续招募同伙。林某某在半个多月内就在当地组织了5名好友，共同参与其中。 为了更快转移赃款，更多拿到酬金，林某某和同伙共同注册了十多个虚拟货币的钱包账户，还开设了超过30个专门用于洗钱的银行账户疯狂作案。据统计，在短短一年时间内，经林某某和同伙处理的资金流水，就超过了20亿元，林某某和同伙获利200余万元。 披着“外籍身份”的“神秘黑手”浮出水面 在调查中，警方发现，犯罪分子为了隐藏自己的身份，在网络地址中都显示的是外籍，但许多不合理的迹象，又让警方对他们的身份，产生了怀疑。究竟是什么人在作案？ 通过与卖方进一步接触，警方发现，在信息交易过程中，卖方要求资金必须通过虚拟货币支付。通过技术分析，警方发现，这个地址是一名越南籍人员实名注册的。 北京市公安局经侦总队办案人员 梁飞：（我们）发现嫌疑人符合境内人员的特征，但是他在群组内利用了一个越南人的身份掩饰了他（实际是）境内人员的真实身份。 继续深入追踪，警方发现，犯罪嫌疑人通过虚拟货币完成交易后，就将收到的虚拟货币在多个境外虚拟货币交易平台、以不同人名义开立的虚拟货币钱包之间腾挪，最终进入到闫某某的虚拟货币钱包中。 北京市公安局经济犯罪侦查总队办案人员 迟杨清：他所收的折合人民币1000余万虚拟币，是通过了多个虚拟币账户进行不断转移，经过多轮拆分和整合，一小时内就从三个交易所之间完成了切换，他背后存在一个专业洗钱的团队，为闫某某的非法贩卖公民信息的赃款进行洗白。 团伙作案组织严密 境内外资金“闪转腾挪” 资金的“闪转腾挪”究竟是如何实现的？又是什么人在操作？在对虚拟货币的追查中，警方发现，这个犯罪团伙试图绕开警方的视线，逃避监管。 北京市公安局经济犯罪侦查总队办案人员 迟杨清：（我们）发现这些（涉案）银行账户交易十分异常，他们平均每日的交易金额动辄上千万元，交易笔数动辄上百笔，这些大额的交易与他们从事的副业完全不符，由此我们推定，他们是以虚拟（货）币作为媒介，从事非法买卖外汇、洗钱活动。 在本案里，资金的“闪转腾挪”是如何实现的呢？办案民警告诉记者，这个地下钱庄犯罪团伙使用境内人民币资金，向境内的炒币人员和币商收购虚拟货币，然后再通过境外的不同虚拟货币平台，将虚拟货币出售给境外卖家来获取外汇，这就实现了非法买卖外汇的作案过程，也增加了案件调查取证的难度。 国家外汇管理局北京市分局外汇检查处工作人员 张艺严：闫某某的虚拟货币出售给地下钱庄，从而将他的虚拟货币和地下钱庄控制的虚拟货币实现了一种置换，从而实现了他赃款洗白的目的。 多路警力联合出动 涉案嫌疑人被全部抓获 经过深入调查，涉案的林某某地下钱庄6名成员及非法出售公民信息的闫某某，各自的犯罪事实逐步清晰。2023年12月，警方兵分四路，在温州、南京、北京、哈尔滨同时行动，将涉案犯罪嫌疑人全部抓获。警方现场缴获从事非法活动的手机等电子设备20余部、银行卡30余张。经过清点，该案件共涉及资金超过20亿元，用于非法交易的虚拟货币钱包达到十余个。 涉虚拟货币的各类犯罪在近几年呈现出高发态势，日趋猖獗，主要原因就是虚拟货币具有极强的隐蔽性。一直以来，这也是警方依法严厉打击和综合治理的重点。 虚拟货币相关业务活动属于非法金融活动 北京市公安局经济犯罪侦查总队办案人员 刘嘉：我们在日常办案中发现，境外的地下钱庄和洗钱团伙常以买卖外汇在部分国家合法作为幌子，来淡化这种法律责任，诱导我国民众在国内开立银行账户和虚拟币账户，帮助其实现地下钱庄的资金转移交易，这种行为在我国是违法犯罪行为，涉嫌刑法的非法经营罪或者洗钱犯罪，是要承担法律责任的。 在我国，虚拟货币相关业务活动属于非法金融活动。以虚拟货币为跨境交易媒介，实现外汇与人民币的非法兑换行为，均属于非法买卖外汇行为。根据《中华人民共和国外汇管理条例》规定，私自买卖外汇、变相买卖外汇、倒买倒卖外汇，或者非法介绍买卖外汇数额较大的，由外汇管理机关给予警告，没收违法所得，并处罚款；构成犯罪的，依法追究刑事责任。 中国人民银行北京市分行副行长 姚力：广大人民群众在办理外汇业务时，一定要通过银行等正规金融机构办理业务，（大家要）远离地下钱庄等非法渠道，以免遭受资金财产损失，也避免因违反外汇管理相关法规而受到处罚。   转自Freebuf，原文链接：https://www.freebuf.com/news/397037.html 封面来源于网络，如有侵权请联系删除  

近日，Proofpoint 的安全分析师发现一个专门从事商业电子邮件泄露（BEC）攻击的黑客团伙 TA4903 ，该组织一直在冒充美国政府机构，诱使受害者打开带有虚假投标流程链接的恶意文件。 Proofpoint 观察到的数据显示，威胁攻击者已经假冒了美国交通部、美国农业部 (USDA) 和美国小企业管理局 (SBA)等多个美国机构。 据信，黑客团伙 TA4903 至少从 2019 年起就开始活跃在互联上，2023 年年中到 2024 年期间又增加了活动频次。网络安全研究人员观察到 TA4903 使用的最新手段是在 PDF 文档附件上”附着“二维码。 虚假竞标电话 PDF 这些 PDF 使用统一风格，具有相同的元数据（包括指向尼日利亚血统的作者姓名），一旦受害者扫描二维码，就会立刻被重定向到仿冒美国政府机构的官方门户网站上。 冒充美国农业部的钓鱼网站 跟随钓鱼邮件中的”诱饵“，收件人可能会被”引诱“到 O365 登录页面，并要求其输入登录凭据。值得一提的是，TA4903 黑客团伙曾依靠 “EvilProxy “绕过多因素身份验证 (MFA) 保护，但 Proofpoint 表示近期没有观察到其使用反向代理。 Proofpoint 表示黑客团伙 TA4903 的攻击活动纯粹是出于经济动机，主要采用了以下策略： 未经授权访问企业网络或电子邮件账户； 在被入侵的账户中搜索与银行信息、支付或商家相关的关键字，寻找金融欺诈的机会； 进行 BEC 攻击，例如从被入侵的电子邮件账户向其他员工或合作伙伴发送欺诈性付款或发票请求。 安全研究人员在 2023 年年中几个案例中发现，威胁攻击者试图诱骗财务部门的员工更新付款详情（这些信息是从目标合作组织的受损电子邮件帐户或与之非常相似的地址发送的） 网络攻击主题信息 TA4903 黑客组织出道以来，以美国多个组织为攻击目标，发起了大量电子邮件攻击，严重影响其网络环境安全稳定。近期，安全研究人员注意到 TA4903 组织从欺骗美国政府实体转向冒充小型企业，但目前还不清楚这种转变是暂时的还是长期的。   转自Freebuf，原文链接：https://www.freebuf.com/news/393709.html 封面来源于网络，如有侵权请联系删除

近日，一个名为“SubdoMailing”的大规模广告欺诈活动正在使用8000多个合法互联网域名和1.3万个子域名大量发送垃圾邮件，每天发送量高达500万封电子邮件，用于诈骗和恶意广告盈利。 域名遭到劫持的企业中不乏知名品牌，例如MSN、VMware、McAfee、经济学人、康奈尔大学、哥伦比亚广播公司、NYC.gov、普华永道、培生、联合国儿童基金会、美国公民自由联盟、赛门铁克、Java.net、Marvel和易趣等。 从这些知名品牌的域名和子域名发送的恶意电子邮件可以绕过垃圾邮件过滤器。此外，不法分子还利用SPF和DKIM电子邮件策略来欺骗安全电子邮件网关，将这些电子邮件识别为合法邮件。 通过检测电子邮件元数据中的异常模式，Guardio Labs的研究人员Nati Tal和Oleg Zaytsev最终发现了这个大规模的子域劫持操作，并报告称该活动自2022年以来一直在进行。 对MSN域名错误授权垃圾邮件的案例研究显示，攻击者为使电子邮件看上去合法并逃检测和过滤，使用了多种攻击方法：包括滥用SPF（发件人策略框架）检查、DKIM（域名密钥识别邮件）和DMARC（域名基于消息认证、报告和一致性）协议。 SubdoMailing劫持域名发送垃圾邮件的组合策略 对信誉良好的企业的域名和子域名，SubdoMailing活动主要通过CNAME攻击和SPF记录利用这两种方法来实施域名劫持。 在CNAME攻击中，攻击者会扫描知名品牌的子域名，其中CNAME记录指向不再注册的外部域名。然后，他们通过NameCheap服务自行注册这些域名。 利用CNAME攻击劫持域名 在第二种方法——利用SPF记录的域名劫持攻击中，SPF记录的include选项用于从外部域名导入允许的电子邮件发件人，攻击者首先查看目标域名SPF记录中“include:”选项所指向的外部域名中是否存在注册过期的域名。 然后攻击者会注册SPF记录中失效的外部域名，更改其SPF记录以授权自己的恶意电子邮件服务器（使用被劫持的域名作为邮件地址）。这使得攻击者的电子邮件看起来合法地来自信誉良好的域名。 利用SPF记录劫持域名 Guardio Labs将此次大规模域名劫持活动归咎于一个代号“ResurrecAds”的威胁行为者，该行为者会系统性地扫描网络中可能被劫持的域名，并有针对性的购买域名。 威胁行为者不断更新这个由被劫持域名、SMTP服务器和IP地址组成的庞大网络，以维持垃圾邮件活动的规模和复杂性。Guardio Labs表示，SubdoMailing使用了近2.2万个独立IP，其中1000个似乎来自家庭网络。 SubdoMailing的运营规模与分布 目前，SubdoMailing大规模垃圾邮件活动通过全球分布的SMTP服务器进行运作，这些服务器通过由8000个域名和1.3万个子域名组成的庞大网络每日发送超过500万封欺诈电子邮件。 为了方便企业自查域名是否被劫持，Guardio Labs开发了一个SubdoMailing检查网站。   转自GoUpSec，原文链接：https://www.secrss.com/articles/64023 封面来源于网络，如有侵权请联系删除

根据 Experian 的报告显示，有70% 的企业表示近年来因网络欺诈造成的损失有所增加。同时，也有超过一半的消费者认为自己相比去年遇到网络欺诈事件的次数有所增长。 为了在 2024 年有效降低网络欺诈事件的发生频率，企业需要部署更先进的欺诈保护解决方案，并利用数据和技术的力量来降低风险从而更好的保护消费者。 Experian 认为企业和消费者今年需警惕以下五种欺诈威胁： 生成式人工智能加速了 DIY 欺诈行为 生成式人工智能的爆炸式普及为我们的生活带来了许多好处，但同时也给网络欺诈提供了诸多便利。 Experian预测，欺诈者将利用生成式人工智能加速 “自己动手 “的欺诈行为，利用电子邮件、语音和视频等各种深度伪造内容以及代码创建来建立诈骗网站并实施在线攻击。欺诈者还可能利用生成式人工智能来设计 “生命证明 “计划。 欺诈者将使用盗来的身份信息，利用生成式人工智能在社交媒体上创建虚假身份和他人进行互动，最终实施欺诈目的。 这可能会大大增加欺诈攻击事件发生的可能。因此为了保护客户的安全，企业必须尽可能地利用多层次的欺诈预防解决方案，以人工智能对抗人工智能。 消费者仍选择银行分行开户 尽管数字借贷体验已大幅迁移，但许多消费者仍亲自前往银行分行开设新账户或获取金融建议。消费者之所以这样做，是因为他们希望更有安全感，并认为亲临现场可以避免网络安全风险。 在分行核实身份时，可能会出现人为错误或疏忽。根据 Experian 的一份报告，85% 的消费者称物理生物识别是他们最近遇到的最值得信赖和最安全的身份验证方法，但目前只有 32% 的企业使用这种方法来检测和防范欺诈。 Experian 预测，贷款机构将在亲自开户的分行引入更多数字身份验证步骤，如物理生物识别技术，以保护合法客户并减少损失。 零售商遭遇空头退货 随着网络购物的兴起，骗子们找到了骗取零售商和小企业的诈骗新方式。一般都是顾客说要退回购买的商品，但当企业方收到包裹时，发现里面是空的。 这时候顾客会说他们已经退回了产品，肯定是在邮寄过程中丢失了。Experian 预测，2024 年将会有更多的犯罪分子使用这种方法保留商品，从而造成商家的经济损失。 合成身份欺诈将激增 在此前疫情期间，许多欺诈者创建了合成身份，他们通过各种援助计划窃取资金。 Experian 预测，诈骗分子利用这类虚假身份能够更轻松的躲避侦查，极可能利用这些休眠账户窃取资金。企业需要比以往任何时候都更谨慎地审视合作伙伴，避免遭遇虚假身份欺诈。 欺诈者将业务扩展到与慈善事业有关的欺诈和投资欺诈 从虚假的GoFundMe活动、社交媒体赠品、投资机会到短信欺诈，欺诈者通过与事业相关的请求或者低的令人难以置信的优惠引起消费者的注意，以获取消费者重要的个人信息。 Experian 预测，2024 年之后，这类欺骗事件将激增。因此为了避免成为受害者，消费者必须格外谨慎，在与这些机会、慈善机构或短信互动之前，要确认它们的来源。 Experian Decision Analytics 北美首席创新官Kathleen Peters表示：欺诈者可能通过新技术实施更为复杂的欺诈攻击，这将使得企业和消费者在 2024 年面临巨大风险。   转自Freebuf，原文链接：https://www.freebuf.com/news/392164.html 封面来源于网络，如有侵权请联系删除