本周一向美国加州北区地方法院提交的诉讼中，Facebook指控网络托管服务提供商OnlineNIC和ID Shield侵犯商标和抢注域名。诉讼中，FB指控这两家供应商一直在托管HackingFacebook.net和iiinstagram.com之类的网站，而这些网站沦为了黑客攻击Facebook用户以及网络钓鱼的工具。 在诉讼文件中，Facebook此前已经向两家被告公司发送了多项删除请求，称这些网站侵犯了该公司的商标。Facebook表示，它已至少向ID Shield发送了5条通知，以披露“facebook-login.com”等网站背后的所有者。但是这两家公司始终没有做出回应。 这两家公司托管了至少20个类似的网站，而其中有很多网站涉嫌在Facebook和Instagram上进行非法活动。域名包括：“HackSomeonesFacebook.com”以及“BuyInstagramFans.com”等等。 这两家公司还托管了很多看起来像是官方Facebook和Instagram的URL地址网站，例如其中一个网站的URL为“ m-facebook-login.com”，而且页面设计为与Facebook的登录页面完全一样。 Facebook要求为每个域名赔偿10万美元，总计至少200万美元。Facebook发言人在一份声明中说：“人们指望我们保护我们的应用程序和服务的完整性。我们不容忍有人创建与我们的应用程序系列相关联的网址。今天的诉讼表明，我们将对这种滥用行为的使用者采取行动。”   （稿源：cnBeta，封面源自网络。）

外媒报道称，Instagram 刚刚为自家 App 引入了一项新功能，以帮助用户确定所谓的“官方邮件”是来自 Facebook、还是网络钓鱼攻击者。现在，用户可在接收到一封自称来自 Instagram 的邮件时，转到 App 内的“安全性”设置，并启用真实性检查选项，以甄别平台在过去 14 天内向用户发生的每一封邮件。 安全设置（题图 via TheVerge） 目前这项更新已经推出，但可能需要一段时间才能显示在现有用户的设置菜单中。新菜单将 Instagram 官方邮件分成了“安全”和“其它”两个类别，前者属于官方认证、后者则可能潜藏风险。 （安全邮件） ‘安全邮件’中的链接可以放心点击，但‘其它邮件’就要多长个心眼了 —— 因为它很可能是网络钓鱼者设下的全套，旨在忽悠用户交出真实的用户名和密码。 （其它邮件） 若担心后一种情况，我们建议您删除存在疑问的邮件。如果最糟糕的情况已经发生、且账户遭到了入侵，还请参考 Instagram 帮助页面列出的官方指南，以开展相应的补救操作。 据悉，随着网络钓鱼攻击的日渐升级，许多诈骗网站也都‘与时俱进’地拿出了针对双因素身份认证账户的攻击手段，甚至随后可跳转到真实的站点。   （稿源：cnBeta，封面源自网络。）

一种名为“盗梦空间栏”（Inception Bar）的新型网络钓鱼技术出现了，并被证实适用于 Chrome 移动版。 该方法允许黑客屏蔽 Chrome 移动版上的真实网址并显示虚假网址，并附带挂锁图标，以欺骗用户相信他们正在滚动的网页是合法且安全的。更糟糕的是，假 URL 也可以显示为带有交互式内容的动态栏。 开发人员 Jim Fisher 无意中发现这一方法，并在其个人博客进行实验，展示了它的工作方式。 在 Chrome 移动版中，当用户向下滑动页面时，浏览器会隐藏 URL 栏，为网页腾出更多空间。正因如此，网络钓鱼站点得以显示自己的虚假 URL 栏。 通常，当用户向上滚动时，Chrome 会重新显示网址栏。但黑客可以欺骗 Chrome，使真正的网址栏永远不会重新显示。 一旦 Chrome 隐藏了 URL 栏，整个页面内容都可以被移动到带有新元素overflow:scroll 的“滚动监狱”中。接下来，用户会以为他们在向上滑动页面，但事实上他们只是在“滚动监狱”中向上滚动，就像《盗梦空间》中的套环梦境一样。 虽然黑客可以使用 URL 栏的静态图像来掩盖真实的 URL，但他们甚至可以创建一个交互式 URL 栏，使其看起来更加可信。 目前为止，还没有关于恶意利用该方法造成破坏的报道。我们可以采取一些措施来保护自己免受“盗梦空间栏”的攻击： 在 Chrome 浏览器中访问网页时，可以锁定屏幕然后重新解锁。这时，被隐藏起来的真实 URL 会自动显示，如果网络钓鱼站点在起作用，用户将同时看到两个 URL 栏； 钓鱼栏右上角的选项卡数量通常显示不准确，留心检查已在不同选项卡中打开的网页数量，则可以发现异常； Chrome 的黑暗模式会将所有 UI 元素设置为黑色，而虚假的 URL 栏通常显示为白色，这也可在一定程度上帮助识别伪 URL 栏。 参考：Jim Fisher、gadgets360   （稿源：开源中国，封面源自网络。）

据外媒报道，根据伦敦网络安全竞购Certfa最新公布的一份报告显示，与伊朗政府相关的黑客将实施了制裁的他国官员、活动人士和记者作为其网络钓鱼黑客攻击目标。获悉，目标包括了原子科学家、美国财政部官员以及今年被美国总统特朗普撤销的伊朗核协议的支持者和批评者。 Certfa发现，这场活动是由一个叫做Charming Kitten的黑客组织发起。研究人员在报告中写道：“换句话说，受到伊朗政府支持的黑客根据伊朗政府的政策和国际利益选择攻击目标。” 对此，伊朗政府并未立即置评。 报道称，该黑客行动在很大程序上主要依赖于诱骗邮箱用户交出他们电子邮件的用户名和密码。不过像Yubikey等这样的物理令牌有助于防止此类黑客攻击，因为当登录重要邮箱账号时设备必须在场才行。 Certfa指出，黑客们为了给自己的行动增加合法性会选择在某些情况下指示受害者在输入用户名和密码之前打开其在谷歌页面上的网站。研究人员说，他们已经将这种情况反映给了谷歌，为此谷歌关闭了该公司服务上的黑客页面。 目前还不清楚究竟有多少受害人落入了这个网络钓鱼的全套，而这些黑客之所以被发现看来是因为他们犯了一个基础错误。据称，他们在网上留下了一个不安全的信息，研究人员正是通过这个找到了他们并从中获取了钓鱼活动的细节信息。   稿源：cnBeta，封面源自网络；

根据Carbon Black威胁分析部门（TAU）发布的最新报告，从黑色星期五至圣诞节期间机构和个人遭受网络攻击的风险更高。在对1600万个端点进行深入追踪调查后，TAU观察到自2016年圣诞节假期开始，网络攻击量年增长率超过20.5%，远远超出正常水平。通常情况下会在黑五活动开始前升温，然后在圣诞节后几天内达到最高峰。 Carbon Black的首席网络安全官汤姆凯勒曼说：“基于现有的网络攻击数据，我们预计2018年假日购物季节期间应该会继续保持这样的趋势，但也不排除更快增长的可能。在节日期间，网络世界往往会比较活跃，而攻击者会尽可能地利用这一点。” 凯勒曼还表示这些网络攻击不仅仅针对个人，而且还针对企业和机构，因此它们数据受损的风险更高，可能会危及数百万客户的个人和财务信息。TAU的报告称，假期期间发生的绝大多数网络攻击都使用网络钓鱼活动或鱼叉式网络钓鱼活动来传播的。   稿源：cnBeta，封面源自网络；

讯 10月15日下午消息，据中国台湾地区媒体报道，安全厂商Cyren揭露，有数千名冰岛民众在上周收到了网络钓鱼邮件，而且黑客是以冰岛警方的名义发送邮件，还建立了可以假乱真的官方网站，企图于使用者电脑上植入恶意程式并侧录受害者所输入的机密资讯。由于冰岛的人口只有35万，因此这一攻击已被视为是冰岛史上最大的网络攻击行动。 这一攻击行动始于今年10月6日，黑客以所入侵的帐号注册了www.logregian.is网域名称，与冰岛警方的官网www.logreglan.is只差了一个字母，并在邮件中威胁使用者若不遵守规定可能会遭到逮捕，继之提供来自伪造网站的连结。 当使用者造访假冒的警察网站时，会被要求输入社会安全码，输入之后，该站竟然能够验证使用者的身分，从而跳出使用者的姓名，还要求使用者输入邮件中所附的验证码以再次验明正身。 至此使用者几乎已不再怀疑，很容易就会听从网页上的指示，下载一个具密码保护的.rar档案，输入网页上所提供的密码，解压缩后则会出现一个Yfirvold.exe执行档，这是个兼具键盘侧录功能的远端存取木马，执行后会开始搜集存放于浏览器中的机密资讯并侧录键盘，再将资料上传至黑客设于德国与荷兰的远端服务器。 Cyren表示，该恶意程式明确锁定了冰岛民众，因为它会检查受害者是否造访冰岛主要的多家网络银行。 冰岛警方已认定这是冰岛迄今所出现的最大的网络攻击行动，也已确认许多收件人都已沦为受害者，并根据电子邮件及网站所使用的文字，以及黑客所拥有的冰岛民众资料，相信它是由内贼所为。   稿源：，稿件以及封面源自网络；

据外媒CNET报道，事实证明，谷歌员工避免网络钓鱼的关键是一个真正的密钥。 Krebs on Security上周报道称，该公司于2017年初开始使用基于物理USB的安全密钥，从那时起，其85000多名员工中没有一人在使用他们的工作账户时遭遇网络钓鱼。 密钥可用作双因素身份验证的替代方法，用户首先使用密码登录，然后输入通常通过文本或应用程序发送到手机的其他一次性密码。 一位谷歌代表告诉Krebs，安全密钥用于该公司的所有帐户访问。 “自从在谷歌使用安全密钥以来，我们没有报告或确认帐户接管，”这名代表表示。“用户可能会被要求使用他们的安全密钥对许多不同的应用程序/原因进行身份验证。这完全取决于应用程序的敏感性以及用户在该时间点的风险。” 谷歌没有立即发表评论。 根据Krebs on Security的数据，在2017年之前，谷歌员工使用Google Authenticator应用生成的一次性密码  。但是一个零售价低至20美元的安全密钥使用了一种称为通用第二因子（U2F）的多因素身份验证。U2F允许用户通过插入USB设备并按下上面的按钮来登录。设备链接到某个站点后，用户不再需要输入密码。 据Krebs on Security称，更多网站正在采用U2F身份验证，但目前只有少数网站支持它，例如Dropbox，Facebook和Github。它受到Chrome，Firefox和Opera等浏览器的支持。据报道，微软将在今年晚些时候更新其Edge浏览器以支持U2F。   稿源：cnBeta，封面源自网络；

据外媒 BGR 报道，在其 G Suite 博客的更新的一篇博文中，谷歌宣布将为谷歌帐户持有者带来一项新的安全功能，这些帐户持有者也碰巧依靠 Chrome 浏览器进行其网页浏览活动。 谷歌希望通过验证用户登录他们控制的谷歌帐户来提高安全性。此举旨在防止任何人悄悄登录可能属于恶意第三方的谷歌帐户。但是，并非所有谷歌用户都会看到这个新界面，因为这专门针对的是第三方登录。谷歌表示，新的安全功能将于 5 月 7 日开始推出。 稿源：freebuf，封面源自网络；

IBM 、Global Cyber Alliance 和 Packet Clearing House 合作推出了免费的 Quad9 公共 DNS 服务（9.9.9.9），它将会屏蔽与僵尸网络、钓鱼攻击和其它恶意主机相关联的域名。 Quad9 的工作与其它免费的公共 DNS 相似，但不会返回已识别为恶意的域名解析。测试显示，Quad9 相比 Google 的 公共 DNS 服务 8.8.8.8，其响应延迟时间更长，但 Quad9 项目成员表示通过缓存和增加节点将有助于减少延迟。GCA 的 Phil Rettinger 称，Quad9 注重隐私保护，不会记录发出请求的地址，只保存地理位置数据，目的是为了跟踪特定恶意域名相关的请求。 稿源：Solidot，封面源自网络；

10 月 17 日消息，Alphabet 旗下的谷歌于本周二宣布，该公司将推出一项高级保护程序，以便为面临网络安全高风险的用户提供更强大的安全保护措施。这些用户包括政府官员或记者等，他们成为黑客攻击目标的风险往往更高。 谷歌宣称，使用此程序的用户可以对他们的帐号进行持续更新，以此应对不断出现的网络安全威胁。谷歌方面还表示，该公司最初将提供三种防御措施来帮助用户抵制网络安全威胁，其中包括设置物理安全密钥、显著数据访问与共享以及阻止欺诈帐号访问。另外，该程序还在帐号恢复过程增加了一个评估和请求程序，以此防止黑客通过欺诈方式攻击用户的帐号，因为黑客往往会通过假装锁定用户帐号的欺骗方式进入用户邮箱。 继去年美国总统大选之后，谷歌就一直在推出一系列新电子邮箱安全服务。业界技术专家 Joseph Lorenzo Hall 表示，谷歌此番推出的新功能将让那些面临黑客攻击高风险的用户更好地防止 “钓鱼” 欺诈攻击，但一些已经在 Gmail 帐号中整合定制安全工具的用户在使用谷歌的新程序时可能会面临一些兼容问题。 稿源：腾讯科技，封面源自网络；