标签: 网络钓鱼

警方捣毁造成数百万美元损失的网络钓鱼团伙

在欧洲刑警组织协调的执法行动后,造成数百万欧元损失的网络钓鱼团伙成员被逮捕。本周二,欧洲刑警组织对外宣布:“在欧洲刑警的支持下,比利时警察(联邦警察)和荷兰警察(警察)参与了一次跨境行动,粉碎了一个涉及网络钓鱼、诈骗、诈骗和洗钱的有组织犯罪集团。” 最终警方在荷兰搜查了24个场所,并缴获枪支弹药、珠宝首饰、电子设备、现金和加密货币若干,同时还逮捕了9名嫌疑人。据调查,该组织的成员利用银行凭证窃取了数百万欧元,这些凭证是大规模的钓鱼邮件、钓鱼短信中的一部分,“这些团伙成员会编辑发送钓鱼短信、钓鱼邮件等,其中包含指向虚假银行网站的网络钓鱼链接。受害者在无法分辨钓鱼网站的情况下,就会向这些钓鱼团伙提供他们的银行凭证。” 在这些网络犯罪分子中,有些还被发现与毒品和枪支走私有联系,他们使用钱骡来清空受害者银行账户上的所有资金,并将通过欺诈获得的资金套现。据欧洲刑警说,本次行动,三名专家被派往荷兰,为调查人员提供实时分析支持,以及取证和技术专业知识。而在月初时,欧洲刑警组织还取缔了FluBot,这是现存最大的Android恶意软件活动之一。和去年不同的是,在一些组织的关键成员被捕后,执法部门紧接着就控制了FluBot的基础设施,使其无法再用于针对Android用户。4月,欧洲刑警组织还协调开展了TOURNIQUET 行动,该行动导致RaidForums 黑客论坛于1月31日在英国被捕,其管理员和创始人Diogo Santos Coelho也一并被捕。   转自 Freebuf,原文链接:https://www.freebuf.com/news/336905.html 封面来源于网络,如有侵权请联系删除

大规模 Facebook 网络钓鱼活动,预计产生数百万美元收益

据 Bleeping Computer 网站披露,研究人员发现了一项大规模网络钓鱼活动。攻击者滥用 Facebook 和 Messenger 引诱数百万用户访问网络钓鱼页面,诱骗用户输入帐户凭据。 经研究人员分析,钓鱼活动背后的操作者可以利用这些被盗账户,向用户的朋友进一步发送钓鱼信息,通过在线广告佣金获得了大量收入。 根据一家专注于人工智能的网络安全公司 PIXM 称,钓鱼活动至少从 2021年 9 月就开始活跃,在 2022 年 4 月至 5 月达到顶峰。 PIXM 通过追踪威胁攻击者,绘制了钓鱼活动地图,发现其中一个被识别出的钓鱼网页承载了一个流量监控应用程序(whos.amung.us)的链接,该应用程序无需认证即可公开访问。 大规模的滥用 目前,尚不清楚钓鱼活动最初是如何开始的,但 PIXM 表示,受害者是通过一系列源自 Facebook 、Messenger 的重定向到达钓鱼登陆页面的,在更多的 Facebook 账户被盗后,威胁攻击者使用自动化工具向被盗账户好友进一步发送钓鱼链接,造成了被盗账户大规模增长。 另外,虽然 Facebook 有自身保护措施,可以阻止钓鱼网站 URL 的传播,但威胁攻击者使用某个技巧,绕过了这些保护措施。 再加上,钓鱼信息使用了 litch.me、famous.co、amaze.co 和 funnel-preview.com 等合法的 URL 生成服务,当合法的应用程序使用这些服务时,阻止这些服务成为了一个很难解决的问题。 网络钓鱼活动中使用的一些 URL(PIXM) 值得注意的是,研究人员未经身份验证,成功访问了网络钓鱼活动统计页面,经过对数据信息分析后发现,在 2021 年,有 270 万用户访问了其中一个网络钓鱼门户,这个数字在 2022 年上升到 850 万,侧面反映了钓鱼活动在大规模增长。 通过深入研究,研究人员确定了 405 个用作钓鱼活动标识符的独特用户名,每个用户名都有一个单独的 Facebook 网络钓鱼页面,这些钓鱼网页的页面浏览量从只有 4000 次到数百万次不等,其中一个页面浏览量更是高达 600 万次。研究人员认为,这 405 个用户名仅仅占钓鱼活动所用账户的一小部分。 已识别的传播用户样本 (PIXM) 另外,研究人员披露,当受害者在钓鱼网站的登陆页面上输入凭证后,新一轮重定向就会开始,立刻将用户带到广告页面、调查表等。 一个向钓鱼用户展示的广告 (PIXM) 威胁攻击者能够从这些重定向中获得推荐收入,在这种如此大规模的钓鱼活动中,估计能有数百万美元的利益。 追踪威胁攻击者 值得一提的是,PIXM 在所有登陆页面上都发现了一个通用代码片段,其中包含一个是对已被查封网站的引用,该代码片段是对名为 Rafael Dorado 的哥伦比亚男子调查的一部分。 目前尚不清楚是谁查封了该域名并在网站上发布了通知。通过反向 whois 查询,指向了伦比亚一家合法的网络开发公司和提供 Facebook “like bots” 和黑客服务的旧网站链接。 PIXM 已经和哥伦比亚警方与国际刑警组织分享了调查结果,同时强调尽管许多已识别的 URL 已下线,但钓鱼活动仍在进行中。   转自 FreeBuf,原文链接:https://www.freebuf.com/news/335701.html 封面来源于网络,如有侵权请联系删除

Chrome 无法识别大多数钓鱼网站?Google 质疑 Which? 的研究

消费者监察公司 Which? 近日表示,Chrome 浏览器无法识别绝大多数的钓鱼网站。而对于这项研究的有效性和使用方法,Google 提出了质疑。 根据 Which? 公司对新近发现的前 800 个钓鱼网站进行的研究,Windows 端 Chrome 浏览器只阻止了其中的 28%,而 macOS 端只阻止了 25%。这些数字与表现最好的浏览器 Firefox 形成鲜明对比,Firefox 在 Windows 中能将用户从这些网站中的 85% 重定向,在 Mac 上为 78%。   在发送给英国新闻媒体 The Independent 的声明中,Google 对 Which? 的调查结果持怀疑态度: 这项研究的方法和结果需要仔细审查。10 多年来,Google 一直帮助其他浏览器制定反钓鱼标准–并免费提供基础技术。Google 和 Mozilla 经常合作以提高网络的安全性,Firefox 浏览器主要依靠 Google 的 Safe Browsing API 来阻止网络钓鱼–但研究人员表示,Firefox 浏览器提供的网络钓鱼保护明显多于Chrome。使用相同技术检测网络钓鱼的浏览器在其提供的保护水平上存在有意义的差异是非常不可能的,因此我们对这份报告的发现仍然持怀疑态度。 网络钓鱼骗局几乎和互联网一样久远。它们通常采取电子邮件或短信的形式,其中有伪装成任何数量的合法公司的官方登录页面的欺诈性网站链接。Chrome、Firefox和其他浏览器试图过滤掉这些可疑的网站。 网络钓鱼骗局在用户层面最容易得到缓解。消费者应该对要求提供信息或要求他们登录某个网站的未经请求的电子邮件持怀疑态度,无论该电子邮件或网站看起来多么正式。糟糕的语法或拼写以及不寻常的URL是其他明显的迹象,表明电子邮件并非真正来自银行或其他用户经常访问的网站。   转自 cnBeta,原文链接:https://www.cnbeta.com/articles/tech/1274521.htm 封面来源于网络,如有侵权请联系删除

研究人员发现一种新的网络钓鱼即服务——Frappo

据Security affairs网站5月10日消息,网络安全机构Resecurity近期发现了一项名为Frappo的新型地下网络犯罪服务,以网络钓鱼即服务(PHaaS)的形式,使网络犯罪分子能够托管和生成以假乱真的网络钓鱼页面,这些页面主要针对网络银行、电子商务、流行零售商和在线服务来窃取客户数据。 这项服务最早于2021年 3 月22 日左右出现在暗网上,之后有过重大升级,最后一次更新是在 2022 年 5 月 1 日。除了暗网,Frappo也积极利用Telegram 进行宣传,拥有一个将近2000名活跃成员的群组,网络犯罪分子们在这就各种成功的攻击经验展开交流。 Frappo赋予网络犯罪分子以匿名和加密格式处理被盗数据的能力,具备匿名计费、技术支持、凭证搜集和追踪等功能。Frappo根据他们选择的订阅期限为网络犯罪分子提供了几种付款计划,就像为合法企业提供基于 SaaS 服务的平台一样,Frappo允许网络犯罪分子最大限度地降低开发网络钓鱼工具包的成本,并在更大范围内得到运用。 值得注意的是,网络钓鱼页面的部署过程完全自动化,Frappo利用一个预先配置的 Docker 容器和一个安全通道,通过 API 收集受损的凭证。 正确配置Frappo后,将会对搜集到的数据可视化——例如有多少受害者打开了网络钓鱼页面、授权或输入凭据、正常运行时间和服务器状态。日志部分将显示这些凭证,其中包含有关每个受害者的详细信息,例如 IP 地址、用户名、密码等。 根据Resecurity的观察,这些网络钓鱼页面的逼真度很高,其中包含诱骗受害者输入授权凭证的交互式场景。Frappo的出现表明,网络犯罪分子一直在利用先进的工具和技术来发动攻击,数字身份信息的保护已成为在线网络安全的关键。 转自 FreeBuf,原文链接:https://www.freebuf.com/news/332796.html 封面来源于网络,如有侵权请联系删除

乌克兰和美国在俄对乌采取军事行动前成为网络攻击目标

现在,不少新报告指出了跟俄罗斯对乌克兰采取的军事行动直接或间接有关的黑客行动。许多专家预测,俄罗斯将在乌克兰发动重大网络攻击,如关闭该国的电网。虽然大规模的行动还没有实现,但关于小规模攻击的报告已经开始出现。 当地时间周一,Google表示,它发现了针对乌克兰官员和波兰军队的广泛的网络钓鱼攻击。安全公司Resecurity Inc也分享了针对美国天然气供应公司的协调黑客攻击活动的证据。在这两种情况下,攻击可能跟与俄罗斯及其盟友有关的团体有关。 Google的威胁分析小组(TAG)指出,钓鱼活动的目标是乌克兰媒体公司UkrNet的用户以及“波兰和乌克兰政府和军事组织”。攻击是由包括白俄罗斯团体Ghostwriter和俄罗斯威胁行为者Fancy Bear在内的团体展开。后者跟俄罗斯军事情报机构GRU有关,另外还对2016年的美民主党电子邮件黑客攻击负责。 Google的Shane Huntley在一篇博文中写道:“在过去的两周里,TAG观察到来自一系列我们定期监测并为执法部门所熟知的威胁者的活动,其中包括FancyBear和Ghostwriter。这种活动的范围从间谍活动到网络钓鱼活动。我们正在分享这些信息以帮助提高安全社区和高风险用户的意识。” 而针对美国天然气公司的活动则成功渗透了100多台属于这些公司雇员和前雇员的电脑。至于该行动的动机目前还不清楚,但Resecurity将这项工作描述为“预先部署”–入侵机器进而为某种更大的行动做准备。 这些攻击则是在俄罗斯对乌克兰采取军事行动前两周开始的,而确保在美国天然气供应商中占有一席之地无疑将为地缘政治杠杆提供大量机会。作为一系列经济制裁的一部分,欧洲国家正在试图摆脱俄罗斯的天然气,对此,美国的能源公司已经加强了供应,进而使美国成为世界上最大的液化天然气或液化天然气供应商。 Resecurity CEO Gene Yoo告诉媒体,他认为这次攻击是由国家支持的黑客展开,不过他没有去猜测背后的可能黑手。彭博社指出,其中一名涉案的黑客跟Fancy Bear进行的攻击有联系。   (消息及封面来源:cnBeta)

参与乌克兰难民援助工作的欧洲政府官员成为网络钓鱼活动的目标

据CNET报道,网络安全公司Proofpoint周三表示,欧洲官员正被一场似乎是国家支持的网络钓鱼活动所攻击,目的是破坏他们帮助乌克兰难民的努力。 据该公司的研究人员称,攻击者正在使用可能被盗的乌克兰武装部队成员的电子邮件账户,针对管理逃离该国的难民的后勤工作的官员。这些电子邮件带有一个恶意的宏附件,试图将危险的恶意软件(研究人员称之为SunSeed)下载到目标计算机上。 该活动是在俄罗斯军队向乌克兰首都推进,促使数十万人逃离,并阻塞了乌克兰与波兰、匈牙利、斯洛伐克和罗马尼亚等几个国家的边境口岸之际进行的。据Proofpoint称,该活动可能是试图找出这些人以及帮助他们所需的资源的下一个目的地。   虽然被攻击的欧洲官员有不同的专业知识和工作职责,但攻击者似乎专注于与运输、财务和预算分配、行政管理以及欧洲内部人口流动有关的职责。 研究人员在他们的报告中写道:“这一活动可能代表了一种尝试,以获得有关北约成员国内部资金、物资和人员流动的后勤保障的情报。” 虽然研究人员没有直接将该活动归于一个特定的国家或网络犯罪集团,但他们确实注意到,从技术角度来看,它类似于以前与一个被称为Ghostwriter或TA445的攻击者有关的行动,据信该攻击者在白俄罗斯运作。 Proofpoint说,该攻击者还与大型虚假信息行动有关,该行动旨在操纵与北约国家内难民有关的欧洲舆论。   (消息及封面来源:cnBeta)

网络钓鱼攻击同时使用虚假亚马逊订单和欺诈性客户服务代理

一个新的多级网络钓鱼攻击伪造了亚马逊的订单通知页面,上面有一个虚假的客户服务语音号码,攻击者利用该号码,要求受害者的信用卡详细信息以更正错误的“订单” 周四,Avanan的最新研究强调了这种攻击,称网络钓鱼攻击通过结合使用电子邮件和语音诱饵,并利用亚马逊等流行品牌来欺骗潜在受害者,这种攻击正变得越来越复杂。 Avanan(现被Check Point收购)的首席执行官Gil Friedrich说,从10月份开始,Avanan观察到了一次新的攻击,攻击者在其中伪造了一个典型的亚马逊订单通知页面。 攻击是这样进行的:受害者收到一封电子邮件,显示他们有总额超过300美元的亚马逊订单需要支付。受害者知道到他们并没有下订单,点击电子邮件中的一个链接查证,这个链接只会跳转到亚马逊网站,但网络钓鱼邮件中有一个客户服务号码,它有南卡罗来纳州的区号,当受害者试图打电话时,该号码并不会应答。 几小时后,攻击者从印度打来电话,假冒的客户服务代表告诉受害者,他们需要提供信用卡和CVV号码才能取消费用单。 Friedrich解释说:“这不仅为黑客带来了金钱上的收益,还为攻击者提供了一种获取电话号码的方式,使他们能够在未来几周内通过语音邮件或短信进行进一步的攻击。”。 在Armorblox报道的另一个品牌仿冒骗局中,一个凭证钓鱼攻击模仿了Proofpoint,并试图窃取潜在受害者的Microsoft和Google电子邮件凭证。这封电子邮件声称包含一个由Proofpoint作为链接发送的安全文件,一旦受害者点击,它就会将他们带到一个splash页面,该页面伪造了Proofpoint的品牌,并有专门针对Microsoft和Google的欺骗性登录页面。 Armorblox公司的研究人员说,这场骗局的全部目的是为了抹黑一个受信赖的安全品牌,如Proofpoint,和知名品牌,如微软和谷歌。 虽然两个攻击略有不同,但这表明攻击者变得更聪明,他们更知道如何掠夺人们对知名品牌的信任。 零风险 KnowBe4的数据驱动防御推广者Roger Grimes指出,在亚马逊的案例中,这种多级网络钓鱼攻击的好处在于,当由潜在受害者打电话时,攻击者成功的可能性要大得多。他补充说,这封电子邮件几乎不需要任何设置和发送成本——还是零风险的。他说,所有网络钓鱼电子邮件和攻击也是如此。 Grimes说:“但这里的区别在于,当有人不厌其烦地给网络钓鱼者打电话时,网络钓鱼者知道他们很有可能上钩了。”“受害者已经在心理上接受了这个骗局,哪怕他们曾经有过任何怀疑的话,但因为这个假冒品牌组织现在正在跨多种媒介工作,受害者会进一步确信这个骗局是真实的。受害者可能不认为骗子具备获取真实电话号码和现场接听电话的能力,而事实上在网络钓鱼诈骗中这种操作经常会发生。” 这种骗局的另一个流行版本是一封假装来自受害者当地电力公司的电子邮件。这封电子邮件声称受害者向电力公司的付款被拒绝,他们的电力很快就会被切断。受害人被指示到当地商店购买付款凭单。 Grimes说:“你可能会问自己,‘谁会相信他们的电力公司要求他们用现金券付款?’。“根据我的工作经验,大约10%的受害者会上当。”   消息来源:DarkReading,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

GoDaddy 对员工展开邮件钓鱼测试:约 500 人未通过

据外媒报道,日前,GoDaddy对其员工进行了一个钓鱼邮件测试,结果约有500名员工没有通过。据悉,测试中的邮件声称他们将获得650美元的假期奖金。这封邮件是由Happyholiday@Godaddy.com发送,包裹在一片闪闪发光的雪花banner下,上面则印着GoDaddy Holiday Party的字样。 这封邮件于当地时间12月14日发给数百名GoDaddy员工的。 “虽然我们不能在年度节日聚会上一起庆祝,但我们想表达我们的感谢并分享650美元的一次性假期奖金!”邮件写道,“为确保您能及时获得一次性假期奖金,请在12月18日周五之前选择您的地点并填写详细信息。” 然而两天后,该公司又发了一封电子邮件。“你收到这封邮件是因为你没有通过我们最近的钓鱼测试,”该公司的首席安全官Demetrius Comes写道,“你需要重新接受安全意识社会工程培训。” 网络钓鱼测试是由公司发送,用来评估员工是否容易受到网络钓鱼攻击,公司外的人会试图伪装成可信来源以获取敏感信息如用户名和密码。 总部位于斯科茨代尔的GoDaddy是全球最大的域名注册商和网络托管公司。 今年早些时候,《福布斯》报道称,2.8万名GoDaddy客户的账户用户名和密码因数据泄露而受到影响。 尽管该公司今年的客户超过2000万并报告了创纪录的客户增长,但该公司在新冠大流行期间解雇或重新分配了数百名员工,包括亚利桑那州、爱荷华州和德克萨斯州的员工。 GoDaddy并不是今年第一家以潜在奖金的方式作为诱饵诱骗员工陷入网络钓鱼骗局的公司。 今年9月,在全美拥有多家主流报纸的Tribune Publishing也向其员工发送了一封类似的电子邮件。 对此,该公司的几名员工表示愤怒,他们在Twitter上转发了这封邮件并称:“这种钓鱼尝试是多么得荒谬和多么得悲哀。”         (消息及封面来源:cnBeta)

大量伪造 Amazon Japan 邮件的网络钓鱼活动

自2020年8月以来,Proofpoint的研究人员跟踪了大量的Amazon Japan凭证和信息网络钓鱼活动,这种可疑活动可追溯到2020年6月。这些信息冒充Amazon Japan,暗示接收者需要检查他们的帐户,以确认“所有权”或“更新的付款信息”。单击邮件中的链接后,收件人将进入以Amazon为主题的凭证仿冒登录页面,这些页面收集凭证、个人识别信息(PII)和信用卡号码。这些信息已经被发送到日本的某些组织。这些页面被防护,以确保只有基于日本的收件人才能被带到凭证仿冒页面。 … 更多内容请至Seebug Paper 阅读全文:https://paper.seebug.org/1374/       消息与封面来源:proofpoint  ,译者:芋泥啵啵奶茶 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

报告称网络钓鱼套件的平均价格上涨了 149%

从事网络安全研究的Group-IB表示,该公司通过分析汇总已知的网络犯罪市场和黑客论坛上发布的交易数据,2019年网络犯罪黑市上出售的网络钓鱼套件的平均价格从2018年录得的122美元飙升至去年的304美元。 尽管网络钓鱼工具包的卖家数量(增长了120%)和网络钓鱼工具包广告的数量(2019年增长了一倍)双双增加,但由于“供需两旺”,钓鱼工具包的价格继续快速上扬。 在Group-IB在2019年识别和跟踪的16200个钓鱼套件中,伪造亚马逊、谷歌、Instagram、Office 365和PayPal的登录页面的手段最为常见。 亚马逊和PayPal是已知的最常用的网络钓鱼行动的目标,因为访问这两个账户可以让黑客直接利用受害者的资金进行欺诈性交易。 访问谷歌和Office 365账户往往会导致企业网络遭到破坏,这也解释了为什么大多数网络钓鱼工具包都支持针对这两项服务的攻击。 另外一个有趣的现象是黑客也热爱“网红”,围绕着黑客入侵和出售高用户数的Instagram账号,这里又形成了一个网络犯罪社区。 这种交易大多发生在一个名为OGUsers的论坛上,而这似乎也吸引了网络钓鱼套件的卖家加入到这个网站上,作为可以购买钓鱼套件的三大网络犯罪论坛之一,它仅次于Exploit和Crimenetwork。 2019年网络钓鱼工具包价格上涨有一系列原因。其中最主要的一个原因是,近年来随着浏览器越来越难被黑客入侵,这种网络钓鱼懒人工具包的效率下降了。这反过来推动了越来越多的黑客拥抱基于电子邮件的攻击,将其作为入侵组织的主要手段。 如今,网络犯罪生态系统中的很大一部分是由基于电子邮件的攻击所驱动的。虽然大多数电子邮件攻击主要集中在传递受恶意软件感染的文件或引诱用户到可以下载恶意软件的网站上,但这些攻击中也有很大一部分是网络钓鱼。 网络钓鱼,指的是引诱用户到一个托管虚假登录页面的网页,收集登录信息并引诱受害人做出泄露隐私数据的动作从而从中牟利。制作精良的网络钓鱼工具包会附带大量的钓鱼模板和功能,可以绕过电子邮件安全系统。 此外,还有其他原因。比如说,买家也在从过去的错误中汲取教训。廉价或免费的钓鱼套件往往含有后门,所以现在大多数买家已经学会了去购买高价值的产品,而不是免费的工具,这无形中增加了需求量,钓鱼套件的价格也随之水涨船高。 网络安全领域的一个公理是:黑客工具的价格与合法产品的安全性间接成正比。黑客工具的价格越高,合法产品越难被黑客入侵。换句话说,2019年网络钓鱼工具价格上涨是一个很好的消息,因为这意味着电子邮件安全系统在检测攻击方面的能力越来越强。   (稿源:cnBeta,封面源自网络。)