HackerNews 编译，转载请注明出处： YouTube 近日警告创作者，提防一种新的网络钓鱼骗局，诈骗者利用 AI 生成的首席执行官 Neal Mohan 视频来诱骗用户。骗子通过私密分享的方式传播伪造视频，谎称 YouTube 正在调整盈利政策，实则企图窃取用户凭据。 YouTube 表示：“YouTube 及员工不会通过私密视频联系用户或提供信息。如果你收到自称来自 YouTube 的私密视频，那就是一场网络钓鱼骗局。” 据外媒 The Verge 报道，近来，Reddit 上有用户报告称遇到类似骗局。一名用户透露，他们收到一封邮件，称“Notification for YouTube Creators”账户向其分享了一段私密视频，并要求下载恶意文件。另一名用户则表示，他们收到“Channel for Creators”分享的视频，被引导至一个伪造的 DocuSign 网站，同意所谓的新盈利政策。而这两封邮件的发件人均显示为看似官方的“no-reply@youtube.com”。 YouTube 进一步警告，诈骗者正利用平台功能伪装成官方账号，引导创作者点击恶意链接。这类骗局并不新鲜，早在 2023 年，就有 Reddit 用户发现过 Neal Mohan 的 AI 伪造视频。 为了防范这类骗局，YouTube 提供了以下建议： 不要点击不明链接：特别是那些通过私密视频或邮件发送的链接。 提高警惕：不要轻易相信未经验证的视频或邮件。 报告可疑活动：如果发现可疑的视频或邮件，及时向 YouTube 官方报告。 YouTube 还在其帮助中心提供了防范和举报钓鱼邮件的建议，并推出了新的支持助手，帮助用户恢复被黑客攻击的账户。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络犯罪分子现在可以利用 Darcula PhaaS 平台的最新版本 v3，在几分钟内克隆任何品牌的网站，进一步降低了大规模实施网络钓鱼攻击所需的技术门槛。 这一最新版本的网络钓鱼工具 “代表着犯罪能力的重大转变，降低了坏人针对任何品牌发起复杂、可定制网络钓鱼活动的门槛，” 网络安全公司 Netcraft 在一份新分析报告中指出。 Netcraft 表示，自 2024 年 3 月底首次曝光 Darcula 以来，已检测并阻止了超过 95,000 个新的 Darcula 网络钓鱼域名、近 31,000 个 IP 地址，并关闭了超过 20,000 个欺诈网站。 Darcula 最大的变化是允许任何用户按需生成任何品牌的网络钓鱼工具包。 “新的重制版本现已准备好进行测试，” 该服务的核心开发人员于 2025 年 1 月 19 日在一个拥有超过 1,200 名订阅者的 Telegram 频道中发布消息表示。 “现在，你还可以自己定制前端。使用 darcula-suite，你可以在 10 分钟内完成前端的制作。” 要做到这一点，客户只需在网页界面中提供要冒充品牌的 URL，平台将使用浏览器自动化工具（如 Puppeteer）导出 HTML 和所有所需资源。 用户随后可以选择要替换的 HTML 元素并注入网络钓鱼内容（例如支付表单和登录字段），使其与品牌登陆页面的外观和感觉相匹配。生成的网络钓鱼页面随后上传到管理面板。 “像任何 SaaS 产品一样，darcula-suite PhaaS 平台提供管理仪表板，使欺诈者可以轻松管理他们的各种活动，” 安全研究员 Harry Freeborough 表示。 “一旦生成，这些工具包将上传到另一个平台，犯罪分子可以在该平台上管理他们的活跃活动、查找提取的数据并监控已部署的网络钓鱼活动。” 除了提供展示网络钓鱼活动聚合性能统计信息的仪表板外，Darcula v3 还进一步提供了一种方法，将被盗的信用卡详细信息转换为受害者的虚拟卡片图像，可以扫描并添加到数字钱包中用于非法目的。具体来说，这些卡片被加载到一次性手机上并出售给其他犯罪分子。 该工具目前处于内部测试阶段。在 2025 年 2 月 10 日的后续帖子中，恶意软件作者发布消息表示：“我最近很忙，所以 v3 更新将推迟几天。”   消息来源：The Hacker News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一种新的 JavaScript 混淆方法利用隐形 Unicode 字符来表示二进制值，这种方法正在针对美国政治行动委员会（PAC）附属机构的网络钓鱼攻击中被积极利用。 Juniper Threat Labs 发现了这次攻击，报告称该攻击发生在 2025 年 1 月初，显示出高度复杂性，包括使用以下手段： 使用个性化非公开信息来针对受害者， 使用调试器断点和时间检查来规避检测， 使用递归包装的 Postmark 跟踪链接来掩盖最终的网络钓鱼目的地。 JavaScript 开发者 Martin Kleppe 于 2024 年 10 月首次披露了这种混淆技术，其在实际攻击中的快速采用突显了新研究如何迅速被武器化。 使 JS 负载“隐形” 这种新的混淆技术利用了隐形 Unicode 字符，特别是 Hangul 半角（U+FFA0）和 Hangul 全角（U+3164）字符。 JavaScript 负载中的每个 ASCII 字符都被转换为 8 位二进制表示，其中的二进制值（1 和 0）被替换为隐形的 Hangul 字符。 混淆后的代码存储为 JavaScript 对象的一个属性，由于 Hangul 填充字符显示为空白，脚本中的负载看起来是空的，如下图所示。 空白处隐藏恶意代码 一个简短的引导脚本使用 JavaScript Proxy 的 get() trap 来检索隐藏的负载。当访问隐藏属性时，Proxy 将隐形的 Hangul 填充字符转换回二进制，并重建原始的 JavaScript 代码。 Juniper 的分析师报告称，攻击者除了上述手段外，还采取了额外的隐藏步骤，例如使用 base64 编码脚本和使用反调试检查来规避分析。 “这些攻击高度个性化，包括非公开信息，初始 JavaScript 会尝试在被分析时调用调试器断点，检测到延迟后，然后通过重定向到良性网站来中止攻击，”Juniper 解释道。 这些攻击难以检测，因为空白减少了安全扫描器将其标记为恶意的可能性。 由于负载只是对象中的一个属性，它可以被注入到合法脚本中而不引起怀疑；此外，整个编码过程易于实现，不需要高级知识。 Juniper 表示，此次活动中使用的两个域名此前与 Tycoon 2FA 网络钓鱼工具包有关。 如果是这样，我们可能会在未来看到这种隐形混淆方法被更广泛的攻击者采用。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Cofense 的网络钓鱼防御中心（PDC）发现了一起网络钓鱼活动，该活动利用合法的 Microsoft 登录页面诱骗用户授予对恶意 “Adobe Drive X” 应用的访问权限。该应用随后将受害者重定向到一个伪造的 Microsoft 登录页面，旨在窃取其凭据。 攻击从一封伪装成 Office 365 密码重置请求的网络钓鱼邮件开始。邮件中包含一个链接，指向一个真正的 Microsoft 认证页面，使攻击显得更具说服力。然而，一旦用户在该合法页面输入凭据，他们就会被提示授予对一个名为 “Adobe Drive X” 的自定义 Microsoft 365 应用的权限。 攻击者的狡猾策略在此处显现。通过请求通过一个看似无害的与 Adobe 相关的应用程序访问，他们利用了用户对 Microsoft 和 Adobe 的信任。该应用请求访问用户的电子邮件地址和基本个人资料信息，进一步增加了其合法性的伪装。 如果用户接受了这些权限，他们将被重定向到一个旨在模仿 Microsoft 登录页面的凭据网络钓鱼页面。该页面并未托管在 Microsoft 域名上，但不知情的用户可能会忽略这一关键细节，尤其是在之前通过合法的 Microsoft 页面成功登录后。 “攻击者很可能将此凭据网络钓鱼尝试放在一个合法的 Microsoft 365 登录页面之后，以出其不意地攻击用户，”Cofense 在其报告中解释道。“不太警惕的用户可能不会验证第二个登录页面的 URL，并成为凭据网络钓鱼攻击的受害者。” 用户应始终仔细检查 URL，警惕授予未知应用程序的权限，并报告任何可疑活动。   消息来源：Bleeping Computer；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Cloudflare 在其 R2 对象存储平台中试图封堵一个网络钓鱼 URL 时出现失误，引发了一场大规模故障，导致多个服务在近一个小时内瘫痪。 Cloudflare R2 是一种类似于亚马逊 S3 的对象存储服务，旨在提供可扩展、耐用且低成本的数据存储。它提供免费的数据检索、S3 兼容性、跨多个地点的数据复制以及 Cloudflare 服务集成。 故障发生在昨天，当时一名员工响应了一起关于 Cloudflare R2 平台中网络钓鱼 URL 的滥用报告。然而，该员工并未封堵特定端点，而是错误地关闭了整个 R2 网关服务。 Cloudflare 在事后分析中解释道：“在一次常规的滥用补救过程中，由于处理投诉时的失误，意外禁用了 R2 网关服务，而非与报告相关的特定端点/存储桶。” “这是多个系统级控制（首先是）和操作员培训的失败。” 该事件持续了 59 分钟，从世界协调时 08:10 到 09:09，除了 R2 对象存储本身外，还影响了以下服务： Stream – 视频上传和流媒体传输 100% 失败。 Images – 图像上传/下载 100% 失败。 Cache Reserve – 操作 100% 失败，导致源请求增加。 Vectorize – 查询失败 75%，插入、更新和删除操作 100% 失败。 Log Delivery – 延迟和数据丢失：与 R2 相关的日志数据丢失高达 13.6%，非 R2 交付作业的数据丢失高达 4.5%。 Key Transparency Auditor – 签名发布和读取操作 100% 失败。 还有一些间接影响的服务出现了部分故障，例如 Durable Objects，由于恢复后的重新连接，其错误率增加了 0.09%；Cache Purge 错误增加了 1.8%（HTTP 5xx），延迟飙升了 10 倍；Workers & Pages 的部署失败率为 0.002%，仅影响具有 R2 绑定的项目。 Cloudflare 指出，人为错误以及缺乏诸如高影响操作的验证检查等防护措施是此次事件的关键原因。 这家互联网巨头现已实施了即时修复措施，例如在滥用审查界面中移除关闭系统的能力，以及在管理 API 中对内部账户的服务禁用进行限制。 未来还将实施的额外措施包括改进账户配置、更严格的访问控制，以及对高风险操作的双人审批流程。 2024 年 11 月，Cloudflare 曾经历另一次长达 3.5 小时的显著故障，导致服务中 55% 的日志不可逆丢失。 那次事件是由 Cloudflare 日志处理管道中的一个关键组件被错误配置引发的级联故障。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

CloudSEK 的一份新报告显示，威胁行为者正在利用 Zendesk 的免费试用版创建令人信服的网络钓鱼活动。 Zendesk 为其平台提供免费试用，允许用户注册自定义子域。虽然这一功能旨在增强合法企业的能力，但它已被威胁行为者所利用。据报告称，“在过去 6 个月中，有几家客户通过 XVigil 的虚假 URL 和网络钓鱼子模块发现了此类可疑域名”。这些子域模仿合法品牌的名称，将与品牌相关的关键词与数字字符串相结合，欺骗毫无戒心的用户。 虽然目前还没有活动活动的记录，但 CloudSEK 的分析师已经展示了一种潜在的攻击方法。这种战术被称为 “诱饵与转换模式”，其中包括 子域名注册： 攻击者模仿目标公司的品牌注册 Zendesk 子域名。 钓鱼页面集成： 这些子域经过定制，包含伪装成票务系统或支持表单的钓鱼页面。 利用电子邮件信任： Zendesk 生成的电子邮件可直接进入收件人的主要收件箱，由于其可感知的合法性而绕过垃圾邮件过滤器。 使用图片截屏链接钓鱼页面 | 来源：CloudSEK 其中一种情况是发送伪装成票单分配邮件的网络钓鱼页面。报告指出：“所有电子邮件通信（票据）都会登陆主收件箱，而不是被标记为垃圾邮件。这一点相当令人担忧，因为员工可能会误以为由可信机构分发的类似脉络的精心策划的活动。” 这些攻击的主要目的是窃取登录凭证或财务数据等敏感信息。这可能会给个人和组织带来重大经济损失和声誉损害。 CloudSEK 敦促组织和个人保持警惕。将未知 Zendesk 实例列入黑名单并教育员工了解常见的网络钓鱼策略有助于降低风险。   转自安全KER，原文链接：https://www.anquanke.com/post/id/303744 封面来源于网络，如有侵权请联系删除

HackerNews 编译，转载请注明出处： 俄罗斯黑客组织Star Blizzard已被关联到一起新的钓鱼攻击活动，该活动瞄准受害者的WhatsApp账户，这标志着其可能为了逃避检测而改变了长期以来的作案手法。 微软威胁情报团队在与The Hacker News分享的一份报告中称：Star Blizzard的目标通常与政府或外交部门（包括现任和前任官员）、国防政策或涉及俄罗斯的国际关系研究人员，以及与俄乌战争相关的对乌克兰援助方有关。 Star Blizzard（原名SEABORGIUM）是一个与俄罗斯有关联的威胁活动集群，以凭证收集活动而闻名。该组织自2012年至少就已开始活跃，还曾被追踪为Blue Callisto、BlueCharlie（或TAG-53）、Calisto（或Callisto的另一种拼写）、COLDRIVER、Dancing Salome、Gossamer Bear、Iron Frontier、TA446和UNC4057等别名。 此前观察到的攻击链涉及向感兴趣的目标发送钓鱼邮件，通常来自Proton账户，邮件附件中包含恶意链接，这些链接会重定向到由Evilginx支持的页面，该页面能够通过中间人（AiTM）攻击收集凭证和二次验证（2FA）代码。 Star Blizzard还被关联到使用HubSpot和MailerLite等电子邮件营销平台来隐藏真实的电子邮件发件人地址，并避免在电子邮件消息中包含由黑客控制的域名基础设施。 去年年底，微软和美国司法部（DoJ）宣布查封了180多个域名，这些域名被该威胁组织用于在2023年1月至2024年8月期间瞄准记者、智库和非政府组织（NGO）。 这家科技巨头评估认为，对其活动的公开披露可能促使黑客团队通过攻击WhatsApp账户来改变策略。也就是说，该活动似乎规模有限，并在2024年11月底结束。 微软威胁情报战略总监Sherrod DeGrippo告诉The Hacker News：“目标主要属于政府和外交部门，包括现任和前任官员。” “此外，目标还包括涉及国防政策的人员、专注于俄罗斯的国际关系研究人员以及与俄乌战争相关的对乌克兰援助方。” 这一切始于一封自称来自美国政府官员的钓鱼邮件，以赋予其合法性，并增加受害者与其互动的可能性。 邮件中包含一个快速响应（QR）码，敦促收件人加入一个所谓的WhatsApp群组，讨论“最新的非政府组织支持乌克兰NGO的倡议”。然而，该代码是故意损坏的，以触发受害者的回复。 如果邮件收件人回复，Star Blizzard会发送第二条消息，要求他们点击一个t[.]ly缩短的链接加入WhatsApp群组，并为此带来的不便表示歉意。 微软解释道：“点击此链接后，目标会被重定向到一个网页，要求他们扫描二维码加入群组。然而，这个二维码实际上被WhatsApp用于将账户连接到链接的设备或WhatsApp网页版。” 如果目标按照网站（“aerofluidthermo[.]org”）上的指示操作，这种方法将允许威胁组织未经授权地访问其WhatsApp消息，甚至通过浏览器插件将数据外泄。 建议属于Star Blizzard目标行业的个人在处理包含外部链接的邮件时保持警惕。 该活动“标志着Star Blizzard长期以来的TTP（战术、技术和程序）的一次中断，并凸显出该威胁组织在持续进行钓鱼攻击以获取敏感信息方面的坚韧不拔，即使其行动多次遭到破坏也是如此”。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发出警告，一项新的恶意广告活动正针对通过谷歌广告进行宣传的个人和企业，试图通过谷歌上的欺诈广告进行网络钓鱼，窃取他们的登录凭证。 Malwarebytes威胁情报高级总监Jérôme Segura在一份与The Hacker News共享的报告中指出：“该诈骗方案通过冒充谷歌广告，诱骗受害者访问假冒的登录页面，从而窃取尽可能多的广告主账户。” 据推测，该活动的最终目的是利用窃取的凭证继续扩大诈骗活动，同时还在地下论坛上将这些凭证出售给其他犯罪分子。根据Reddit、Bluesky和谷歌官方支持论坛上的帖子，这一威胁自2024年11月中旬以来便已开始活跃。 这一系列活动与利用窃取器恶意软件窃取与Facebook广告和商业账户相关的数据，以劫持这些账户并用于推送进一步传播恶意软件的恶意广告活动的行为极为相似。 新发现的诈骗活动专门针对在谷歌搜索引擎上搜索谷歌广告的用户，向他们展示虚假的谷歌广告，点击后会将用户重定向到托管在Google Sites上的欺诈网站。 这些网站作为着陆页，引导访问者访问外部钓鱼网站，这些网站通过WebSocket捕获他们的登录凭证和二次验证码（2FA），并将其传输到攻击者控制的远程服务器上。 Segura表示：“这些假冒的谷歌广告来自不同地点和行业的个人和企业（包括一家地区机场）。其中一些账户已有数百条其他合法广告在运行。” 该诈骗活动的一个巧妙之处在于，它利用了谷歌广告不要求最终URL（用户点击广告后到达的网页）与展示URL必须相同（只要域名匹配）的规则。 这使得威胁分子可以在sites.google[.]com上托管他们的中间着陆页，同时保持展示URL为ads.google[.]com。此外，他们的作案手法还包括使用指纹技术、反爬虫流量检测、受验证码启发的诱饵、伪装和混淆等技术来隐藏钓鱼基础设施。 Malwarebytes表示，窃取的凭证随后被用于登录受害者的谷歌广告账户，添加新的管理员，并利用他们的预算发布虚假的谷歌广告。 换句话说，威胁分子正在接管谷歌广告账户来推送自己的广告，以便将新受害者添加到不断增长的被黑客攻击的账户池中，这些账户被用于进一步延续诈骗活动。 Segura说：“这些活动背后似乎有几个个人或团体。值得注意的是，他们中的大多数是葡萄牙语使用者，可能位于巴西。钓鱼基础设施依赖于使用.pt顶级域名（TLD）的中间域名，这表明与葡萄牙有关。” “这种恶意广告活动并不违反谷歌的广告规则。威胁分子被允许在广告中显示欺诈性URL，使其与合法网站难以区分。谷歌尚未表明它采取了决定性措施来冻结这些账户，直到其安全性得到恢复。” 这一披露之际，Trend Micro透露，攻击者正在利用YouTube和SoundCloud等平台分发指向假冒安装程序的链接，这些安装程序针对的是流行软件的盗版版本，最终会导致部署各种恶意软件家族，如Amadey、Lumma Stealer、Mars Stealer、Penguish、PrivateLoader和Vidar Stealer。 该公司表示：“威胁分子经常使用Mediafire和Mega.nz等可信赖的文件托管服务来隐藏恶意软件的来源，并使检测和清除变得更加困难。许多恶意下载都受到密码保护并进行了编码，这在沙箱等安全环境中增加了分析的复杂性，并使恶意软件能够逃避早期检测。”   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

10 月 10 日，攻击者通过第三方托管的登录门户访问并更改了员工福利账户，随后发现了这一未经授权的活动。 据该公司称，攻击者发起了一场欺诈性广告活动，将通用动力公司的员工引导到一个钓鱼网站，诱骗他们输入用户名和密码。 通用动力公司向缅因州总检察长办公室表示：“恶意攻击者随后能够访问向虚假第三方登录网站提供此信息的员工的账户。”该公司表示，共有 37 人受到影响。 被入侵的员工福利账户使攻击者可以访问姓名、出生日期、身份证号码、社会保障号码、银行账户信息和残疾状况等个人信息。 通用动力公司称，攻击者在某些情况下更改了被盗账户的银行账户信息。这些账户的所有者从 10 月 10 日开始收到通知。本周，该公司开始向其他受影响人员邮寄书面通知信。 “现有证据表明，涉案的未经授权访问是通过第三方进行身份验证的，而不是直接通过 GD 业务部门进行身份验证。目前，GD 尚未发现此次事件会给受影响的员工带来任何持续伤害或风险。”该公司向缅因州审计院表示。 在向缅因州检察长办公室提交的通知信副本中，通用动力公司告知受影响的个人，攻击者使用通过钓鱼网站获取的泄露凭证，通过员工自助服务门户访问了他们的 Fidelity NetBenefits 账户。 攻击者于 10 月 1 日开始访问员工账户，通用动力公司在发现攻击后立即暂停了对该服务的访问。该公司为受影响的个人提供两年的免费信用监控。 通用动力公司通知受影响的人员重置富达账户登录凭证，并且不要在该账户或您使用的任何其他账户中重复使用之前的凭证。 今年早些时候，美国金融服务公司富达 (Fidelity) 通知数万个人，他们的个人信息在两次数据泄露事件中遭到泄露。一次影响了28,000 名富达投资人寿保险公司客户，另一次影响了超过77,000 名富达投资客户。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/ryUVDrdBnMOej-3kUssgFQ 封面来源于网络，如有侵权请联系删除

2024 年第二季度共报告了 877,536 次网络钓鱼攻击，与同年第一季度报告的 963,994 次攻击相比明显减少。然而，这可能还不是值得庆祝的事情，因为这种减少可能是由于电子邮件提供商使用户报告网络钓鱼企图变得越来越困难。 投诉和测试表明，某些著名的电子邮件提供商正在阻止用户转发他们怀疑可能是网络钓鱼企图的电子邮件。这可能会使结果出现偏差，因为真实的网络钓鱼活动可能比数字显示的要高，这突出表明需要更好、更方便的报告机制。 反钓鱼网站工作组 (APWG) 发布的《2024 年第二季度网络钓鱼活动趋势报告》揭示了这一点。该报告对网络钓鱼攻击和身份盗用方法进行了全面分析，深入揭示了恶意攻击者不断演变的策略，包括网络钓鱼计划、商业电子邮件泄密 (BEC) 和其他形式的在线欺诈。 该报告基于从其成员公司、全球研究合作伙伴处收集的数据，以及通过其网站和电子邮件提交的直接报告。这种广泛的数据收集提供了当前网络钓鱼形势的详细视图，捕捉到了网络犯罪分子使用的社会工程和技术潜伏策略。这些数据通过 APWG eCrime eXchange (eCX) 进行处理，以跟踪独特的网络钓鱼网站、电子邮件主题和目标品牌。 网络钓鱼和网络诈骗兴起 报告还强调了向电话网络钓鱼方法的转变，包括语音网络钓鱼（vishing）和短信网络钓鱼（smishing）。越来越多的银行和在线支付服务客户成为这些欺诈行为的目标。传统的电子邮件网络钓鱼依靠欺骗性信息引诱受害者，而网络钓鱼和短信网络钓鱼则不同，它们涉及与潜在受害者的直接交流。 网络钓鱼通常是通过电话，由恶意行为者伪装成可信组织的人员来获取敏感信息，而网络钓鱼则是发送包含恶意链接或要求提供个人信息的虚假短信。这种直接方法允许攻击者与受害者实时接触，使这些方法更有效地绕过传统的电子邮件安全过滤器并获取敏感信息。随着这些策略变得越来越普遍，组织和个人需要保持警惕，并采取全面的安全措施来防范这些日益复杂的威胁。 针对特定行业的攻击 另一个令人担忧的趋势是社交媒体平台成为攻击目标。这些平台仍然是最常受到攻击的领域，占所有网络钓鱼攻击的 32.9%。这一数字之高说明了社交媒体网站一直很容易受到网络钓鱼的攻击，因为网络钓鱼利用了社交媒体的广泛性和个人特性。由于社交媒体账户的广泛使用及其所蕴藏的个人信息宝库，它们也是网络钓鱼者的目标。 相比之下，针对金融服务实体的网络钓鱼攻击从 2023 年第三季度的 24.9% 和 2023 年第四季度的 14% 降至 2024 年第二季度攻击总量的 10%。针对在线支付服务（如 PayPal、Venmo、Stripe 和类似公司）的攻击保持稳定，占所有攻击的 7.5%。 攻击下降的部分原因是金融公司实施了双因素身份验证（2FA）等强化安全措施，大大降低了传统网络钓鱼的成功率。随着银行和支付服务加强防御，不良分子将重点转向安全措施不那么严格的部门。这表明，所有部门持续保持警惕和采取强有力的安全措施至关重要。 成本更高，但攻击更少 跟踪 BEC 攻击的重要机构 Fortra 报告称，2024 年第二季度，电汇 BEC 攻击请求的平均金额从 2024 年第一季度的 84059 美元增至 89520 美元。 尽管请求的平均金额有所增加，但 BEC 攻击的数量却比上一季度下降了 8.4%。这表明，虽然个别攻击的目标金额可能更高，但这些攻击的总体频率有所下降。 流行骗局 该公司的分析还显示，礼品卡欺诈是最流行的欺诈类型，占所有攻击的 38.1%。此外，预付费欺诈占 26.1%，而工资转移也依然流行，在 Fortra 的跟踪中占 7.6%。混合式网络钓鱼在 2023 年之前甚至还未出现在人们的视线中，但在跟踪的案件中却占到了 4.9%。这些混合式诈骗通常涉及电子邮件信息，提示收件人拨打电话号码解决问题或要求退款。 有趣的是，在工资转移方面，35% 的尝试涉及将工资转入 Green Dot 账户，GoBank 也是热门选择。这表明这些金融机构的审查流程存在漏洞，可能会影响其对 “了解你的客户”（KYC）法规的遵守。 免费网络电子邮件提供商 Fortra 还发现，72% 的 BEC 攻击使用了免费网络邮件域名，其中谷歌 Gmail 最受欢迎，有 72.4% 的攻击使用了该域名。免费网络邮件服务的高使用率凸显了这些平台的漏洞，因为骗子经常利用这些平台进行诈骗。 微软的网络邮件服务在 BEC 攻击中占 16.3%，与 Gmail 相比所占比例较小，但也很重要。 采取积极措施 随着网络钓鱼技术的不断发展和日益复杂，组织和个人都必须保持警惕。这意味着要随时了解网络犯罪分子使用的最新策略，并不断更新和加强安全措施，以有效打击这一祸患。 定期对员工进行培训、实施多因素身份验证和利用先进的网络安全工具等积极主动的措施有助于确保防御措施足够强大，能够跟上网络钓鱼攻击的动态发展。     转自安全客，原文链接：https://www.anquanke.com/post/id/300865 封面来源于网络，如有侵权请联系删除