HackerNews 编译，转载请注明出处： 一个假冒的 7-Zip 网站正在分发这款流行压缩工具的木马化安装程序，该程序会将用户的计算机转变为住宅代理节点。 住宅代理网络利用家庭用户设备路由流量，旨在规避封锁并执行凭据填充、网络钓鱼和恶意软件分发等各种恶意活动。 有用户按照 YouTube 上的电脑装机教程操作时，从仿冒 7-Zip 项目的网站下载了恶意安装程序并进行上报，该新型攻击活动由此引发广泛关注。科技媒体 BleepingComputer 已证实，该恶意网站 7zip [.] com 目前仍可访问。 该威胁行为者注册了域名 7zip[.]com（撰写本文时仍活跃），很容易诱使用户误以为他们访问的是该合法工具的官网。 此外，攻击者还复制了原始 7-Zip 网站（ 7-zip.org）的文本并模仿了其结构。 网络安全公司 Malwarebytes 的研究人员对该安装程序进行分析后发现，其搭载的数字证书已被吊销。 该恶意版本同时包含正常 7-Zip 程序，可提供工具的常规功能。但该安装程序会释放三个恶意文件： ·     Uphero.exe – 服务管理器和更新加载器 ·     hero.exe – 主要代理负载 ·     hero.dll – 支持库 此外，攻击者使用 netsh 修改防火墙规则，以允许这些二进制文件建立入站和出站连接。 最终，主机系统会通过微软的 Windows 管理规范（WMI）和 Windows API 进行特征分析，以确定硬件、内存、CPU、磁盘和网络特性。收集到的数据随后被发送至 iplogger[.]org。 “虽然初步迹象表明其具有后门类能力，但进一步分析显示，该恶意软件的主要功能是代理工具，”Malwarebytes 在解释该恶意软件的操作目标时表示。“受感染的主机被注册为一个住宅代理节点，允许第三方通过受害者的 IP 地址路由流量。” 根据分析，hero.exe 从轮换的 C2 域拉取配置，然后在 1000 和 1002 等非标准端口上打开出站代理连接。控制消息使用轻量级 XOR 密钥进行混淆。 Malwarebytes 发现，该攻击活动的范围不止于 7-Zip 诱饵，还使用了针对 HolaVPN、TikTok、WhatsApp 和 Wire VPN 的木马化安装程序。 该恶意软件使用一个轮换 C2 基础设施，流量经过 Cloudflare 基础设施并通过 TLS 加密的 HTTPS 传输。 它还通过谷歌的解析器依赖 DNS-over-HTTPS，这降低了防御者监控标准 DNS 流量的可见性。 该恶意软件会检测 VMware、VirtualBox、QEMU、Parallels 等虚拟化环境及调试工具，规避安全分析行为。 Malwarebytes 在关注到独立安全研究人员对该恶意软件的分析及真实用途披露后，启动了相关调查。研究人员 Luke Acha 率先查明 Uphero/hero 恶意软件的用途。 研究人员 s1dhy 对基于异或加密的通信协议进行逆向分析与解码，证实了其代理行为。数字取证与应急响应（DFIR）工程师 Andrew Danis 将假冒 7-Zip 安装程序关联至这一假冒多款软件品牌的大型攻击活动。 Malwarebytes 公布了分析过程中发现的攻击指标（域名、文件路径、IP 地址）及主机相关特征数据。 建议用户不要点击 YouTube 视频或搜索推广链接中的网址，应在常用软件的官方下载域名添加书签。 消息来源: bleepingcomputer.com： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 事件响应人员发布的新报告显示，朝鲜黑客针对一家加密货币公司的管理人员发起攻击，部署了多款独特恶意软件，并配合包括虚假 Zoom 会议在内的多种诈骗手段。 谷歌旗下的 Mandiant 发布了针对近期一起攻击事件的详细分析，该事件涉及朝鲜境内以牟利为目的的威胁组织 UNC1069，此次攻击因对受害者的高度定制化与针对性而尤为突出。 黑客最初通过 Telegram 联系受害者，使用的是另一名加密货币行业高管遭攻陷的账号。受害者被发送了一个 Calendly 链接，用以预约一场30分钟的会议，其中包含一个 Zoom 会议链接。 Mandiant 解释称：“受害者报告称，在通话期间，对方展示了一段另一家加密货币公司 CEO 的视频，该视频似乎是深度伪造的。”“尽管 Mandiant 未能在此特定实例中获取法证证据以独立验证 AI 模型的使用，但所报告的欺骗手段与之前公开报道的、具有类似特征的一起事件相似，该事件中也据称使用了深度伪造。” 当受害者进入会议后，黑客声称存在音频问题——诱使受害者在其设备上执行多项操作，据称是为了解决问题。这些问题是为掩盖 ClickFix 攻击而设的骗局——这是一种黑客通过让受害者尝试解决虚构的技术问题来在其设备上安装恶意软件的技术。 在此案例中，受害者被引导至一个网页，该网页提供了针对 macOS 系统和 Windows 系统的故障排除说明。在一系列命令中嵌入了一行启动感染链的代码。 受害者按照故障排除命令操作后，其 macOS 设备被感染。 首批恶意文件，Mandiant 称之为 WAVESHAPER 和 HYPERCALL，是后门程序，允许黑客安装其他工具以扩大其在受害者设备上的立足点。 Mandiant 表示，发现了威胁行为者使用的两种不同的数据窃取工具，分别称为 DEEPBREATH 和 CHROMEPUSH。DEEPBREATH 使黑客能够窃取凭证、浏览器数据、Telegram 中的用户数据以及 Apple 备忘录中的其他数据。该恶意软件将所有信息压缩成 ZIP 存档并外泄到远程服务器。 CHROMEPUSH 是一个恶意工具，被伪装成用于离线编辑 Google 文档的无害浏览器扩展。但该工具实际上会记录击键、跟踪用户名和密码、窃取浏览器 Cookie 等。 事件响应人员指出，这次攻击涉及“异常大量的工具被投放到针对单个个人的单一主机上”——这使他们相信这是一次旨在窃取尽可能多信息的特定攻击。 他们表示，其目的可能具有双重性：“既为了实施加密货币盗窃，也为了利用受害者的身份和数据推动未来的社会工程活动。” Mandiant 称自 2018 年以来一直在追踪 UNC1069，并观察到其攻击手法自此发生了显著演变——特别是近期针对中心化交易所、金融机构的软件开发人员、高科技公司以及风险投资基金中的个人。 Mandiant 解释道：“尽管与 2025 年其他组织（如 UNC4899）相比，UNC1069 对加密货币劫案的影响较小，但它仍然是一个活跃的威胁，以为获取经济利益为目标，针对中心化交易所以及实体和个人。”“Mandiant 观察到该组织在 2025 年活跃于针对金融服务和加密货币行业的支付、经纪、质押和钱包基础设施等垂直领域。” UNC1069 在对企业实体以及加密货币行业人员的攻击中使用了虚假的 Zoom 会议和各种 AI 工具。Mandiant 表示，已观察到这个朝鲜组织使用谷歌的 Gemini AI 工具进行行动研究、开发工具等。 上个月在联合国，美国官员表示，已有数十个国家遭遇了朝鲜黑客实施的加密货币盗窃。朝鲜被指控在 2025 年窃取了超过 20 亿美元的加密货币。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Varonis报告称，一个地下网络犯罪论坛上出现的新型恶意软件工具包，可以在提供钓鱼页面时保持浏览器地址栏不被修改。 这款被称为Stanley的恶意软件即服务工具包，定价在2000至6000美元之间，首次于1月12日被发现，其发布帖子声称它可以创建绕过谷歌商店审核的扩展程序。 Varonis发现，其顶级的定价为威胁行为者提供了定制选项、一个管理面板，并保证能在Chrome网上应用商店上架。 这家网络安全公司指出：“这个保证是此次商业活动的核心：它将分发风险从买家身上转移，并暗示卖家拥有一种可重复通过谷歌审核流程的方法。” 一个基于网络的管理界面为不法分子提供了受感染主机的视图，显示诸如IP地址（用作标识符）、在线状态、浏览器历史状态以及最后活动时间戳等信息。 它还允许操作者选择单个目标并为其配置特定的URL劫持规则，这些规则包括源/合法URL和目标/钓鱼URL。 Varonis解释道：“每条规则可按感染实例激活或停用，使操作者能够分阶段部署攻击并按需触发。” 更重要的是，受害者会在浏览器的地址栏中看到他们试图访问的合法网址，而实际上却在与攻击者控制的内容进行交互。 Varonis解释道：“除了被动劫持，操作者还可以通过实时投递通知，主动引诱用户访问目标页面。这些通知来自Chrome浏览器本身，而非网站，因此它们承载着更多隐含的信任。” 对使用Stanley构建的极简笔记和书签扩展程序Notely的分析显示，其创建者在其中打包了合法功能，但也将其设计为请求必要的权限，以完全控制用户访问的网站。 该扩展包含一个持久的轮询机制，不断与其命令与控制服务器进行校验，实现了备用域名轮换，并拦截网站访问以覆盖一个包含钓鱼页面的全屏iframe。 Varonis解释道：“浏览器的地址栏继续显示合法域名（例如binance.com），而受害者看到并与之交互的却是攻击者的钓鱼页面。” 这家网络安全公司指出，Stanley的价格区间使其能够被广泛的网络犯罪分子获取，而潜入Chrome网上应用店的恶意扩展程序可能会活跃数月，悄无声息地窃取凭证。 消息来源：securityweek.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一项针对中东和北非地区多国的协同性虚假网络招聘广告骗局被揭露，诈骗分子借该地区远程办公模式的持续普及伺机作恶。 这类骗局依托制作精良的社交媒体广告，以 “轻松完成简单线上任务即可赚取收入” 为诱饵，背后实则暗藏窃取钱财与个人信息的有组织诈骗活动。 国际网络安全公司 Group-IB 于今日发布调查报告，详细披露了这一诈骗活动。报告指出，诈骗分子正是利用了新冠疫情后远程办公普及所引发的用工行为转变，伺机实施诈骗。 研究中引用的一份 Rcademy 报告显示，中东地区超 60% 的劳动者如今更倾向于全职远程工作，这一趋势为诈骗行为提供了可乘之机。 此类诈骗并非零散作案，而是规模化运作。Group-IB 的研究人员发现，2025 年全年共出现 1500 余条诈骗招聘广告，其中埃及、海湾地区国家、阿尔及利亚、突尼斯、摩洛哥、伊拉克和约旦成为主要目标区域。 每一轮诈骗攻势都经过精心的本地化适配：诈骗分子使用地区方言、本地货币单位，并植入受众熟悉的品牌元素，以此提高广告可信度，增强用户参与度。 骗局运作流程 虚假招聘广告通常出现在脸书、照片墙和抖音等社交平台，且往往冒用知名电商平台、银行或政府机构的名义发布。一旦有用户作出回应，诈骗分子会迅速将沟通转移至 WhatsApp 或 Telegram 等私人即时通讯软件，并在这些平台上实施核心诈骗行为。 诈骗分子会以 “入职审核” 为借口，要求受害者提供个人信息及财务信息。在许多案例中，他们还会要求受害者缴纳押金，声称缴纳后可获取报酬更高的 “任务”。初期，诈骗分子会返还小额返利以骗取受害者信任，随后便会彻底失联。 研究显示，这些诈骗活动由有组织犯罪团伙操控。团伙在多个国家重复使用相同的诈骗脚本、品牌伪装模板、虚假网站以及 Telegram 群组架构。 这种高度协同的作案模式不仅让骗局得以快速规模化扩散，相比传统的单次诈骗行为，其追踪难度也大幅提升。 对用户及平台造成的影响 诈骗分子利用用户对知名机构的信任，以及社交媒体广告的低成本特性实施诈骗。广告宣称 “仅需几分钟完成任务，日薪可达 10 至 170 美元”，所承诺的收入水平普遍高于当地平均薪资，以此诱骗经济状况较为脆弱的群体入局。 Group-IB 警示称：“总体而言，这类骗局绝非零散广告的简单堆砌，而是一场协同运作、分步骤实施的犯罪活动，拥有统一的基础设施、重复使用的钓鱼手段以及固定的作案模式。” “防御方可通过整合广告关键词、平台传播路径、品牌冒用特征、网站识别指标及诈骗分子身份信息等多维度数据，更高效地在多国范围内追踪、拦截并瓦解此类诈骗活动。” 为防范此类威胁，该公司建议用户提高警惕，同时呼吁平台方加强安全防护措施。 个人层面，应避免向未经验证的招聘方泄露个人及财务信息；对不切实际的高薪承诺保持质疑；通过官方网站或可信招聘平台核实招聘方资质；发现可疑广告及时举报。 企业及社交平台层面，则需加强招聘类广告的审核力度，密切监测品牌或政府部门名义被冒用的情况，并开展多语言反诈宣传活动，提醒高危用户群体提高防范意识。 消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 在一场打破传统供应链攻击模式的新型钓鱼活动中，威胁攻击者正滥用合法的 NPM（Node.js 包管理平台）基础设施。 近年来针对 NPM 生态系统的攻击，多依赖于在包中注入恶意代码，以此感染开发者及其用户，并添加类似蠕虫的传播行为。 而在此次新发现的、被命名为 “Beamglea” 的攻击活动中，恶意包并不执行代码，而是滥用合法的 CDN（内容分发网络）服务 unpkg [.] com，向毫无防备的用户推送钓鱼页面。 9 月末，Safety 公司安全研究员保罗・麦卡蒂（Paul McCarty）首次发现了 120 个用于该攻击的恶意包。如今，网络安全公司 Socket 表示，这类恶意包的数量已突破 175 个。 这些恶意包的攻击目标覆盖能源、工业设备及科技领域的 135 余家企业，累计下载量超 2.6 万次 —— 不过其中多数下载来自安全研究员、自动化扫描工具及分析软件，非真实受害者操作。 Socket 解释称，恶意包的命名均包含随机 6 位字符串，且遵循 “redirect-[a-z0-9]{6}” 的格式（例如 “redirect-3f7a9d”）。这些包一旦发布至 NPM 平台，unpkg [.] com 便会通过 HTTPS 协议的 CDN 链接将其开放访问。 Socket 指出：“攻击者可能会向目标受害者分发伪装成‘采购订单’和‘项目文档’的 HTML 文件。尽管具体传播方式尚不明确，但从‘商务文档主题’及‘针对受害者的定制化内容’可推测，传播途径应为‘电子邮件附件’或‘钓鱼链接’。” 当受害者打开该 HTML 文件时，文件中关联的恶意 JavaScript 代码会从 unpkg [.] com 的 CDN 加载到浏览器中，随后将受害者重定向至钓鱼页面，诱导其输入账号密码等凭据。 Socket 还发现，攻击者使用 Python 工具实现了攻击活动的自动化：该工具流程可完成以下操作 —— 检查受害者是否已登录、诱导其输入凭据、将受害者邮箱及钓鱼链接注入 JavaScript 模板文件（beamglea_template.js）、生成 package.json 配置文件、将恶意包发布为 NPM 公共包，最后生成包含 “指向该恶意包的unpkg.com CDN 链接” 的 HTML 文件。 Socket 表示：“借助这种自动化手段，攻击者无需为每个受害者手动操作，即可创建 175 个针对不同企业的独特恶意包。” 攻击者已生成超 630 个指向这些恶意包的 HTML 文件，所有文件的元标签中均包含攻击活动标识 “nb830r6x”。这些文件分别伪装成 “采购订单”“技术规格文档” 和 “项目文件”，极具迷惑性。 Socket 进一步说明：“当受害者在浏览器中打开这些 HTML 文件时，JavaScript 代码会立即将其重定向至钓鱼域名，同时通过 URL 片段（URL fragment）传递受害者的邮箱地址。随后，钓鱼页面会自动预填充邮箱字段，营造出‘这是已识别用户身份的合法登录门户’的假象，极具欺骗性。” 此次攻击的目标企业包括：阿尔戈杜埃（Algodue，意大利工业设备商）、安赛乐米塔尔（ArcelorMittal，跨国钢铁集团）、德玛格起重机（Demag Cranes，德国起重设备商）、友讯科技（D-Link，网络设备商）、H2 系统公司（H2 Systems，能源设备商）、摩莎科技（Moxa，工业物联网解决方案商）、皮乌西（Piusi，流体传输设备商）、雷尼绍（Renishaw，英国工程技术公司）、萨索尔（Sasol，南非能源化工企业）、斯特塔西（Stratasys，3D 打印技术公司）及蒂森克虏伯努克萨（ThyssenKrupp Nucera，氢能设备商）等。攻击主要集中在西欧国家，同时在北欧及亚太地区也发现了部分目标企业。 网络安全公司 Snyk 指出，另有一批采用 “mad-*” 命名格式（例如 “mad-utils”）的 NPM 包也表现出类似恶意行为，尽管目前尚未证实其与 Beamglea 攻击活动相关。 Snyk 表示：“这类包包含一个伪装的‘Cloudflare 安全检查’页面，会秘密将用户重定向至‘从远程 GitHub 托管文件中获取的攻击者控制域名’。包中还包含常见的反分析逻辑：一方面阻止调试快捷键（如 F12）的使用，另一方面会在用户点击‘虚假验证勾选框’后，强制跳转顶层窗口（即‘框架破坏’技术，frame-busting），防止钓鱼页面被嵌入合法网站框架中暴露。” 消息来源：securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一次大规模数据泄露事件导致超过2.5亿条身份记录在七个国家遭到曝光。 超过2.5亿条身份记录被公开访问，波及至少七个国家的公民，包括土耳其、埃及、沙特阿拉伯、阿拉伯联合酋长国（UAE）、墨西哥、南非和加拿大。 三个托管在巴西和阿联酋注册的IP地址上的配置错误的服务器包含了详细的个人信息，这些信息类似于政府级别的身份档案。泄露的信息包括身份证号码、出生日期、联系方式和家庭住址。 发现此次数据暴露的Cybernews研究人员表示，这些数据库似乎共享相同的结构和命名约定，这可能表明它们源自同一处。然而，目前无法最终确定是谁在运营这些服务器。 “由于数据结构相似，这些数据库很可能由单一方操作，但没有证据表明谁控制了数据，也没有任何确凿线索证明这些实例属于同一方，”我们的研究人员表示。 此次泄露对土耳其、埃及和南非的公民尤其严重，因为这些数据库包含了全方位的身份详细信息。详细信息的泄露为各种滥用行为打开了大门，从金融欺诈和冒名顶替到有针对性的网络钓鱼活动和诈骗。 Cybernews已联系相关托管提供商，截至目前，数据已不再公开可访问。 整个国家受到数据泄露影响 这并非首次在线发现存有公民数据的巨大数据集。Cybernews的研究表明，巴西全国人口可能都曾受到一次数据泄露的影响。 一个配置错误的Elasticsearch实例包含了包含全名、出生日期、性别和自然人登记号（CPF）的数据。这个11位数字用于识别巴西的个人纳税人。 同年，一场与Bankingly有关的数据泄露影响了多米尼加共和国、墨西哥、厄瓜多尔、萨尔瓦多、玻利维亚、哥斯达黎加和多米尼加共和国的公民。Bankingly是一家为拉丁美洲金融机构提供网络服务和移动应用程序的金融科技平台。 据Cybernews研究人员称，这家总部位于乌拉圭的公司因配置错误的Azure Blob Storage存储桶，暴露了七家金融机构的数据。 此前，Cybernews曾报道据称属于政府实体的海量数据集被在线出售。2024年，威胁行为者列出了涉及10亿中国公民的23太字节数据以及上海警察局的数十亿条案件记录。 1.05亿印度尼西亚公民的个人数据，包括身份证号码、全名、出生日期和其他个人身份信息（PII），也已被泄露并在线出售。       消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 近期发现了一批为利用即将在美国举办的2025年国际足联俱乐部世界杯而创建的域名。这预示着2026年世界杯——这项更大的赛事——也面临类似风险。 专门从事主动威胁防护的网络安全公司BforeAI旗下的威胁研究团队PreCrime Labs指出，许多今年使用的域名早已为2026年国际足联世界杯注册完毕。研究人员表示：“这凸显了攻击者使用的两种关键策略：他们要么为新的活动重新利用旧域名，要么提前很久注册新域名。” 他们还提到：“通过将这些域名‘老化’一年或更久，攻击者可以更好地规避检测，并随着赛事临近提高成功率。我们甚至发现了为2030年和2034年国际足联赛事注册的域名。” 在PreCrime的报告中，他们分析了一套包含498个域名的样本，这些域名均含有FIFA、足球（英式足球）和世界杯相关品牌术语（例如“worldcup”、“fifa”、“football”）。这些域名混杂着明显的商标抢注变体（typosquats）、投机性注册、通用的粉丝、商品和博彩名称，以及社区或业余足球网站。 在一个例子中，研究人员发现一个域名，其页面标题显示为“FIFA世界杯赛程”，以诱骗搜索官方比赛信息的用户。当用户访问该站点时，看到的却是一个博彩页面。这是在大型体育赛事期间观察到的常见趋势，对手会滥用热门关键词以最大化搜索可见性和社交媒体传播。 该页面内容为简体中文，但国际足联和官方广播公司实际上并不使用此类渠道进行推广。页面上显著使用名人图片和“官方合作伙伴”等关键词来建立 legitimacy（可信度），但这无法与国际足联的实际赞助商名单核实。诸如“巴西圣保罗官方合作伙伴”等声明被用来增强可信度，但同样使用的是中文。 另一个网页推广所谓的“2026年世界杯电动汽车地图”，声称帮助旅行球迷找到带有电动汽车充电站的酒店和餐厅。实际上，该活动显然旨在通过一种B2B网络钓鱼手段收集个人身份信息。 毫不意外的是，与大型体育赛事相关的最典型骗局是那些带有醒目“购买门票”行动号召按钮的网站，这是金融欺诈的经典高风险诱饵。在这种情况下，虚假的品牌元素，特别是支付合作伙伴（如VISA）的标识、旗帜以及模仿国际足联标志的图案，被策略性地添加到这些域名中。 大型体育赛事，如全球足球盛会或大型巡回演唱会，可预见地会引发欺诈基础设施的激增：包括虚假票务、假冒商品、非法流媒体、博彩诱饵以及用作潜在客户生成或网络钓鱼跳板的通用“粉丝指南”页面。而国际足联世界杯无疑是其中规模最大的赛事。国际足联称，2022年卡塔尔世界杯期间，通过各种媒体参与赛事的球迷达到了五十亿。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 联邦贸易委员会（FTC）数据显示，诈骗者侵吞退休人员毕生积蓄的速度正以惊人速率攀升。去年单年，网络犯罪分子就卷走7亿美元，其中大部分损失涉及被骗金额超过10万美元的受害者。 向FTC报告因诈骗损失超1万美元的老年人数量激增逾四倍。这些诈骗者通常伪装成知名且受信任的政府机构或公司人员。2024年，60岁以上成年人因商业或政府冒充诈骗损失超1万美元的案件达8269起；相比之下，2020年该数字仅为1790起，增长4.6倍。 损失金额的增长更为显著：2020年冒充诈骗造成1.22亿美元损失，而去年诈骗损失总额达7亿美元。损失超10万美元的案例情况最严重——此类诈骗损失从2020年的5500万美元飙升至2024年的4.45亿美元，增长8倍。网络犯罪分子清空了受害者的银行账户甚至401(k)退休金账户。 FTC在报告中指出：“具有讽刺意味的是，近期骗局利用虚假安全警报等手段，针对老年人保护资金和身份的高度警惕心理实施盗窃。”虽然年轻人也会受骗，但FTC强调老年人“更可能”报告大额损失。 去年多数诈骗始于钓鱼接触：41%的报告显示首次接触方式为电话；15%的受害者表示骗局始于在线广告或弹窗；13%称始于电子邮件。最常被提及的是伪装成微软或苹果的在线广告和弹窗安全警报，其中包含可拨打的电话号码。 令人意外的是，33%的老年受害者承认通过加密货币向犯罪分子转账。五分之一的受害者使用银行转账，16%支付现金。“在明确支付方式的报告中，提及加密货币的案例大多在描述中提到了比特币ATM机，”FTC称。在损失超1万美元的报告里，约5%涉及黄金支付；而在损失最严重的案例中，超过五分之一提到使用黄金作为支付方式或被写入投诉。 诈骗者常用话术 FTC重点列出三种典型诈骗剧本： “您的账户遭盗用”：骗子冒充银行员工，谎称监测到“可疑交易”；或伪装成亚马逊员工，通知存在“未授权购买”。 “您的信息被用于犯罪”：诈骗者假冒政府官员或探员，警告受害者的社保号码涉及毒品走私、洗钱甚至儿童色情等犯罪活动。 “您的电脑存在安全问题”：虚假屏幕安全警报常伪装成苹果或微软通知并附联系电话。骗子随后谎称受害者的在线账户已被黑客入侵。 FTC本身也常被骗子冒用，诈骗者甚至盗用其真实员工姓名。该机构解释：“这些骗子声称，摆脱虚假危机的唯一方法是按其指示操作——最终必然要求向诈骗者汇款。骗局可能设计多层复杂情节，但核心目标都是掏空您的账户。”骗子会向受害者保证，遵循其指示可“保障资金安全”、“保护身份”、“洗清罪名”或“协助抓捕罪犯”。 多数诈骗仍依赖电话实施，利用通话制造的恐惧感和紧迫感，使受害者更难冷静思考并核实信息。 如何保护资金？ FTC建议：“切勿为‘保护资金’而转移财产。无论对方自称何种身份，都绝不要因意外来电或消息汇款或转账——即使对方声称此举是为‘保护资金’。”该机构提倡屏蔽骚扰电话，可通过下载拦截应用或使用手机内置功能实现。 若接到自称政府机构或企业人员的来电，应立即挂断并自行核实：查阅官方网站，查找官方电话，直接联系相关机构或公司确认。切勿轻信安全弹窗、邮件、短信或其他非主动索取的通讯中提供的电话号码。       消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 恶意攻击者利用AI技术伪造美国高级官员身份，通过短信和语音钓鱼（分别称为smishing和vishing）实施诈骗。根据美国联邦调查局（FBI）5月15日发布的警报，自2025年4月以来，这些深度伪造骗局持续针对美国现任或前任联邦/州政府高级官员及其联系人。 攻击者通过发送文本短信和AI生成的语音信息，诱使受害者点击恶意链接（通常伪装成要求切换至其他通讯平台），试图非法访问官员的个人或工作账户。成功入侵后，攻击者会利用获取的可信联系人信息，继续针对其他政府官员及其关联人士实施攻击，同时可能冒充可信联系人套取敏感信息或财务资源。 FBI防范AI钓鱼攻击指南 为帮助公众应对AI驱动的社交工程攻击，FBI建议采取以下防护措施： 通过反向查询号码并通过独立渠道验证身份，确认联系人的真实性 仔细检查通信中使用的邮箱地址、电话号码、URL链接和拼写细节（注意细微差异） 警惕图像/视频中的瑕疵，识别AI生成内容特征 切勿向网络或电话结识者透露敏感信息或联系方式 避免向未经验证身份者转账或转移资产 在确认发送者身份前，不要点击邮件/短信中的链接 谨慎下载附件或应用程序 启用双因素认证（2FA），绝不向他人分享验证码 与家人约定暗语或密语用于身份验证 FBI特别指出，攻击者通过精准模仿官员常用通讯方式（如Signal、Telegram等加密平台），利用“紧急事务”、“政策调整”等话术提升欺骗性。近期案例显示，部分钓鱼链接会诱导受害者输入双因素验证码，直接绕过账户保护机制。安全专家建议政府工作人员定期更新隐私设置，限制社交媒体公开信息，并启用高级账号监控服务。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员近日揭露一项规模化运行的钓鱼即服务（PhaaS）活动，该犯罪网络在短短数月内已导致数十万人受害。挪威安全公司Mnemonic披露，该代号“Darcula”的钓鱼平台专门针对iPhone和Android用户，通过仿冒知名品牌诱导受害者提交银行卡信息。 该组织通过短信、RCS和iMessage渠道在全球范围发起攻击，伪装成物流公司等品牌发送钓鱼信息。受害者会被要求支付“包裹签收费用”、“道路通行费”等虚假账单。早期报告显示，该平台持续迭代升级，已具备生成式AI定制钓鱼话术、反取证追踪等高级功能。 通过逆向工程分析，Mnemonic成功锁定该犯罪网络的核心——名为“Magic Cat”的自动化攻击套件。 该基础设施当前被约600个网络犯罪团伙租用，这些组织多潜伏于加密Telegram群组，利用SIM卡池扩大攻击覆盖面，通过卡终端设备处理窃取的数据。据研究人员估算，2023年至2024年的七个月内，通过该平台泄露的银行卡信息达88.4万条。 Mnemonic指出，Magic Cat是专为技术门槛较低的犯罪者设计的全功能工具包，可实现钓鱼短信攻击的批量化操作。该平台内置数百个跨国品牌仿冒模板，近期更新后自定义模板功能更为简化。 该工具具备实时数据流监控功能，可逐字符捕获受害者输入的敏感信息，并支持动态索取PIN码、无缝对接短信网关等高级特性。目前，已通报多国执法机构介入调查。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文