最新研究显示，东南亚的在线诈骗活动持续增长，有组织的诈骗集团每年在全球范围内赚取的收入估计达 640 亿美元。 根据USIP东南亚跨国有组织犯罪高级研究小组发布的一份报告（东南亚的跨国犯罪：对全球和平与安全的日益严重的威胁），在柬埔寨、老挝和缅甸，犯罪团伙每年通过诈骗窃取约 438 亿美元，约占这三个国家正式 GDP 总和的 40%。 这些诈骗通常俗称“杀猪盘”，通过消息平台或约会应用程序联系潜在受害者。诈骗者试图发展关系并最终说服受害者进行欺诈性投资，这些投资被犯罪分子抽走。 USIP 缅甸主任贾森·塔尔 (Jason Tower) 在一次讨论这项研究的活动中表示：“在很短的时间内，这已经从一个主要针对该地区犯罪的区域性问题转变为一个全球性问题。” “而且它正在蔓延到其他国家……同一个犯罪分子开始利用与中东、非洲的新联系。” 研究人员指出，近几个月来，“针对非中国人和不会说普通话的受害者的攻击大幅增加”——这或许是对中国执法部门对该行业日益严格审查的回应。 研究人员称，去年此类诈骗在美国造成约 35 亿美元的损失，加拿大人估计损失 4.13 亿美元，马来西亚人损失超过 7.5 亿美元。 在整个东南亚，有组织的犯罪团伙已将数十万人贩运到戒备森严的院落中，他们被关押在那里，并在暴力威胁下被迫进行诈骗。 研究人员写道：“由于它们很大程度上依赖强迫劳动，这些设施常常带有刑罚机构的特征，有高墙和铁栅栏窗户、闭路电视、武装警卫和酷刑室。” 虽然诈骗复合体所在国家的动态有所不同，但政治腐败是导致有组织犯罪恶化的普遍因素。在柬埔寨，执政党内的一位著名参议员李勇发 (Ly Yong Phat) 拥有一家与“工业规模欺诈”有关的赌场和酒店综合体。 与此同时，在缅甸，军政府允许与政府结盟的民兵沿其与中国和泰国的边境开展大规模犯罪活动。 “这些大院通常是与当地有权有势的精英合作建立的，有时是在治理薄弱或严重腐败国家的城市中心，有时是在官方特区或监管不善的边境地区，在这些地区，执法和税收受到限制，从而造成实际上有罪不罚的现象。”研究人员在报告中写道。 中国最近对自己的公民被贩运到缅甸并成为诈骗目标感到非常厌倦，因此逮捕了一些高级肇事者，并允许缅甸叛乱分子击溃政府支持的民兵组织。 尽管如此，研究人员发现，犯罪活动似乎只是为了应对压力而进行了调整，诈骗基地转移到了缅甸和该地区的其他地方。 尽管国际社会对该问题的认识不断提高，但随着诈骗活动的增加，USIP 研究小组建议采取协调措施来遏制诈骗活动，例如对犯罪集团领导人实施制裁和旅行禁令；追究相关国家纵容诈骗活动的责任；并考虑对 Telegram 等允许团体“协助洗钱”或宣传诈骗资源的社交媒体平台进行惩罚。 美国国务院国际麻醉品与执法局副助理国务卿布兰登·约德周一承认，“这些诈骗活动构成的日益严重的威胁及其对美国人民的影响是国家安全的优先事项。” “从泰国到菲律宾，从越南到印度尼西亚，我们正在为合作伙伴政府提供他们所需的培训和设备支持，以侦查、威慑和调查犯罪。”他说。“这包括支持我们的合作伙伴采用先进的调查技术，这些技术不仅仅是逮捕低级犯罪分子，还包括调查和揭露他们背后的复杂网络。”   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/bE9jCZ9aAk2LXKOlzDRx_Q 封面来源于网络，如有侵权请联系删除

infosecurity网站消息，近日，一项研究分析揭示了针对美国邮政服务（USPS）的网络钓鱼和网络诈骗攻击的严重程度，尤其是在节假日期间。 这项研究由Akamai安全研究人员利用匿名全球DNS查询日志进行，揭示了一个令人震惊的趋势。模仿USPS网站的非法域名吸引的流量几乎与合法域名相当，有时甚至更高，尤其是在感恩节和圣诞节等购物高峰期。 研究人员通过识别与确认的欺诈性JavaScript文件和类似欺诈消息的HTML模式相关联的恶意域名，开始了这项研究。通过过滤标准，包含“USPS”字符串的域名被分离出来，形成了反映恶意意图的数据集。值得注意的是，这项研究非常注意避免误报，以确保分析的准确性。 研究发现了大量欺骗性域名，它们采用了组合蹲守等技术，利用USPS等熟悉的品牌名称唤起受害者的信任。其中，”usps-post[.]world “和 “uspspost[.]me “是最热门的恶意域名，每个域名的点击量都超过了10万次，凸显了这些攻击活动的有效性。 对顶级域名（TLDs）的分析显示，威胁行为者在常见选择中有共同之处，其中“.com”和“.top”域名在这一领域占主导地位。有趣的是，“.com” TLD顶级域名具有全球合法性，而“.top”则成为一个备受安全研究人员关注的恶意活动的流行替代品。 在IP地址方面，出现了不同的模式。在 IP 地址方面，出现了明显的模式。一些IP托管的域名数量少，但流量大；而另一些IP托管的域名数量多，但单个流量小。这种多样性表明，网络犯罪分子采用了不同的策略来逃避检测。 对合法USPS流量和恶意域名进行比较后发现，两者的查询次数惊人地相似，尤其是在节假日期间，这表明消费者面临着巨大的威胁。   转自Freebuf，原文链接：https://www.freebuf.com/news/399846.html 封面来源于网络，如有侵权请联系删除

日前，Egress 公司公布，2023 年二维码网络钓鱼（QR）攻击数量急剧增加。2021 年和 2022 年，网络钓鱼电子邮件中的二维码有效载荷相对较少，分别占攻击总数的 0.8% 和 1.4%。2023 年，这一比例跃升至 12.4%。 据悉，黑客使用社会工程学发起的攻击案例同样有所增加，目前已经占到网络钓鱼攻击的 19%，这种情况发生的原因可能是生成式人工智能技术的大量使用。 另一方面，自 2021 年以来，附件型有效载荷的使用有所减少，三年前，在 Egress 检测到的攻击中，附件型有效载荷占 72.7%，到了 2024 年第一季度，随着黑客不断改进有效载荷，这一比例已降至 35.7%。 黑客利用人工智能技术，进行深度伪造和自动网络钓鱼 从研究人员发布的信息来看，深度伪造已经成为了当下“头条新闻”，与 2023 年最后一个季度相比，2024 年第一季度使用 Zoom 和移动电话作为多渠道攻击链路的情况有所增加；Zoom 增加了 33.3%，移动电话增加了 31.3%。 研究人员预测，未来 12 个月及以后，网络攻击中使用视频和音频深度伪造的情况将会继续大幅度增加。 生成式人工智能技术的出现大大提高了攻击成功率，黑客可以利用该技术轻松创建恶意软件、网络钓鱼网站和电汇欺诈攻击发票等有效载荷，最大程度上简化了网络黑客的作案流程，并以更快的速度提供了更高效的攻击策略。 此外，研究人员还发现，2024 年前三个月，通过 SEG 检测的攻击数量增加了 52.2%。其中 68.4% 的攻击通过了验证检查，甚至包括 SEG 使用的主要检测能力 DMARC。 与集成云电子邮件安全 （ICES） 解决方案不同，SEG 对合法的但已经遭到入侵的第三方帐户效果相对较差，而大多数攻击却都是从这些帐户发送出来。（SEG 位于网络边缘，利用定义库并使用基于签名和基于信誉的检测扫描已知威胁。） 混淆技术经常绕过 SEG，例如劫持合法超链接和屏蔽基于图像的附件（如 JPEG）中指向网络钓鱼网站的超链接，这两种技术占绕过 SEG 的混淆方法的 45.5%。 金融、法律和医疗保健等行业是网络钓鱼攻击的首要目标 报告显示，千禧一代是网络钓鱼攻击的首要目标，收到了 37.5% 的网络钓鱼电子邮件。最受网络钓鱼攻击“喜爱”的行业是金融、法律和医疗保健，其中会计和财务团队的员工收到的网络钓鱼电子邮件最多，其次是营销和人力资源。 值得注意的是，有 13.4% 的网络钓鱼攻击是冒充了受害者认识的人，例如首席执行官和高级领导，其中首席执行官是威胁攻击者最喜欢冒充的“工作角色”。 Egress 威胁情报高级副总裁 Jack Chapman 表示，在 2024 年，网络犯罪分子会继续在网络钓鱼攻击上投入更多的资源，从而获得最高资金回报。不仅如此，黑客还会根据营收情况不断调整钓鱼策略，以获取更多的金钱。同时，人工智能技术也会更多的参与到网络钓鱼攻击中。   转自FreeBuf，原文链接：https://www.freebuf.com/news/399263.html 封面来源于网络，如有侵权请联系删除

欧洲刑警组织周四宣布，全球最大的网络钓鱼即服务平台之一已因长达一年的全球行动“严重中断”服务 。 本周，来自 19 个国家的执法部门搜查了全球 70 个地址，逮捕了 37 名与 LabHost 运营相关的嫌疑人。 据欧洲刑警组织称，之前在开放网络上提供的 LabHost 平台已被关闭，其基础设施也受到损害。调查人员还发现了至少 40,000 个与该平台相关的网络钓鱼域名，该平台在全球拥有约 10,000 名用户。 澳大利亚警方周四宣布，他们关闭了 207 台通过 LabHost 服务托管创建的钓鱼网站的服务器，该网站针对该国超过 94,000 人。五人因与该服务的运作有关而在澳大利亚被捕。 英国逮捕了四名与该网站运营相关的人员，据称其中包括原始开发者。警方证实，英国有近 70,000 名受害者在 LabHost 的欺诈网站之一输入了自己的详细信息。在全球范围内，该服务已获得预计 480,000 个卡号、64,000 个 PIN 码以及用于网站和其他在线服务的超过 100 万个密码。 截至周四，英国警方已联系该国多达 25,000 名受害者，告诉他们数据已被泄露。 在网络钓鱼即服务模型中，网络犯罪分子提供工具，着让技术水平较低的个人能够进行网络钓鱼攻击。 LabHost 已成为全球网络犯罪分子的重要工具。该平台每月平均订阅费为 249 美元，它提供网络钓鱼工具包、托管页面的基础设施、直接与受害者互动的交互功能以及活动概述服务。 根据订阅情况，犯罪分子还会收到一份目标列表，其中包括金融机构、邮政服务和电信服务提供商。 LabHost 还提供了超过 170 个虚假网站的菜单，提供令人信服的网络钓鱼页面供用户选择。 欧洲刑警组织表示，LabHost 最具破坏性的是其名为 LabRat 的集成活动管理工具。此功能使网络犯罪分子能够实时监控和控制攻击。 LabRat 旨在捕获双因素身份验证代码和凭据，这让犯罪分子能成功绕过安全措施。 欧洲刑警组织表示：“LabHost 等平台让不熟练的黑客更容易实施网络犯罪，从而显著扩大了黑客的攻击范围。” “然而，无论该服务模型将自己描绘得对用户多友好，对其恶意使用都构成了非法活动——处罚可能会很严厉。” 去年 8 月，国际警方关闭了一个名为 16shop 的网络钓鱼即服务平台，该平台有 7 万人使用。该服务的网络钓鱼工具包旨在窃取 Apple、PayPal、American Express、Amazon 和 Cash App 等流行服务用户的凭据和付款详细信息。它们的售价相对适中，从 60 美元到 150 美元不等，具体取决于目标品牌。   转自安全客，原文链接：https://www.anquanke.com/post/id/295784 封面来源于网络，如有侵权请联系删除

根据 Check Point 的最新数据，2024 年第一季度，所有品牌网络钓鱼攻击中有 38% 是冒充微软的。 与 2023 年第四季度相比，尝试冒充科技巨头的品牌网络钓鱼比例有所增加，当时该行为占案件总数的 33%。 Google 是 2024 年第一季度第二大被冒充品牌，占尝试冒充次数的 11%。与 2023 年第四季度相比，这一数字增加了三个百分点。 2024年第一季度，冒充亚马逊的网络钓鱼攻击比例较上一季度明显下降，从9%下降至3%。 研究人员表示，研究结果表明网络犯罪分子是如何根据各种因素不断演变网络钓鱼诱饵。例如，尝试使用 LinkedIn 作为诱惑的比例从 2023 年第四季度的 3% 上升到 2024 年第一季度的 11%，这可能与新年求职增加有关。 Airbnb 首次跻身 2024 年第一季度被模仿次数最多的十大品牌排行榜，尝试次数为 1%。 Check Point 研究人员认为，这种攀登可能是受到复活节旅游季节的影响。 他们写道：“度假计划的季节性激增可能会放大 Airbnb 的知名度和吸引力，特别是对于寻求独特住宿的旅行者而言。” 技术行业仍然是品牌网络钓鱼中被冒充最多的行业，这可能是由于它们在企业和远程工作环境中广泛使用。 2024 年第一季度网络钓鱼诈骗中被假冒的十大品牌 微软 (38%) 谷歌 (11%) 领英 (11%) 苹果 (5%) 敦豪 (5%) 亚马逊 (3%) 脸书 (2%) 罗布乐思 (2%) 富国银行 (2%) 爱彼迎 (1%) 网络钓鱼攻击日益复杂 Check Point 还在2024 年第一季度观察到了几起新型网络钓鱼活动，这些活动难以被检测。 在一项冒充 Microsoft 的活动中，黑客利用各种虚假电子邮件主题和发件人身份来欺骗收件人。 这些欺骗性电子邮件的主题包括“邮件发送失败通知”、“Outlook 信息替换”和“请填写：来自 DocuSign 电子签名服务的发票”等主题。 这些电子邮件包含一个链接，如果单击该链接，收件人就会进入一个类似于典型 Outlook 登录页面的网络钓鱼网站。 该页面旨在诱骗目标提供登录凭据，从而给组织带来重大安全风险。 研究人员评论道：“鉴于品牌冒充造成的持续威胁，用户在处理据称来自可信品牌的电子邮件或消息时必须保持高度警惕并谨慎行事。” “通过保持警惕并采取积极主动的网络安全实践，个人可以降低成为网络犯罪策略受害者的风险。”   转自安全客，原文链接：https://www.anquanke.com/post/id/295708 封面来源于网络，如有侵权请联系删除

近日，研究人员发现一种名为 “Darcula “的新型网络钓鱼即服务（PhaaS）使用 20000 个虚假域名，盗取了大量 Android 和 iPhone 用户的凭证。 Darcula 目前已被用于针对全球 100 多个国家的各种服务和组织，涵盖了邮政、金融、政府、税务部门、电信公司、航空公司公用事业公司，为威胁攻击者提供了 200 多个“模板”供其选择。 值得一提的是，Darcula 服务与其它类型的钓鱼服务有一些差别，它主要使用谷歌信息和 iMessage 的富通信服务（RCS）协议发送钓鱼信息（其它类型的钓鱼服务大都使用短信）。 Darcula 网络钓鱼服务 安全研究人员 Oshri Kalfon 去年夏天首次记录了 Darcula 网络钓鱼服务。Netcraft 分析师指出，目前该服务在网络犯罪领域越来越受欢迎，已经被用于几起备受瞩目的案件中。 相比传统网络钓鱼服务，Darcula 采用了 JavaScript、React、Docker 和 Harbor 等现代技术，成功实现了持续更新和新功能添加，“客户”无需重新安装网络钓鱼工具包。 从研究人员透露的信息来看，Darcula 网络钓鱼工具包提供 200 个网络钓鱼模板，可假冒 100 多个国家的品牌和组织。不仅如此，Darcula 使用了正确的本地语言、徽标和内容，虚假登陆页面质量非常高。 Darcula 工具包中的登陆页面 威胁攻击者只需选择一个想要假冒的组织品牌，然后运行一个设置脚本，将相应的钓鱼网站及其管理面板直接安装到 Docker 环境中。 研究人员指出，Darcula 服务通常使用”.top “和”.com “顶级域名来托管用于钓鱼攻击的目的注册域名，其中大约三分之一的域名由 Cloudflare 支持。Netcraft 已经成功绘制了横跨 11000 个 IP 地址的 20000 个 Darcula 域名。（据悉，欺诈域名以每天 120 个的数量激增） Darcula 服务放弃了短信欺诈 Darcula 服务放弃了传统的基于短信的策略，改为利用 RCS（Android）和 iMessage（iOS）向受害者发送带有钓鱼 URL 链接的信息，这样做收件人更容易上当。此外，由于 RCS 和 iMessage 支持端到端加密，因此无法根据其内容拦截和阻止网络钓鱼信息。 从 Darcula 发送的 RCS 消息 Netcraft 表示，全球范围内正在加紧通过遏制基于短信的网络犯罪活动的立法，以期推动 PhaaS 平台转向 RCS 和 iMessage 等替代协议，但这些协议都有自身的局限性。例如，苹果禁止账户向多个收件人发送大量信息，谷歌最近也实施了一项限制措施，禁止已 root 的安卓设备发送或接收 RCS 信息。 然而，网络犯罪分子试图通过创建多个 Apple ID 和使用大量设备，从每个设备中发送处少量信息来规避这些限制。 此外，iMessage 中还有一项保护措施，即只有收件人回复了信息，才被允许点击 URL 链接。为了绕过这些防御措施，钓鱼信息指示收件人回复 “Y “或”1″，然后重新打开信息，点击链接。 通过 iMessage 发送的钓鱼信息 最后，研究人员强调，用户应该以怀疑的态度对待所有催促其点击 URL 链接的信息，尤其是在发件人不明确的情况下。   转自会Freebuf，原文链接：https://www.freebuf.com/news/396192.html 封面来源于网络，如有侵权请联系删除

被追踪为MuddyWater （又名 Mango Sandstorm 或 TA450）的伊朗APT组织与 2024 年 3 月的一次新网络钓鱼活动有关，该活动旨在提供名为 Atera 的合法远程监控和管理 (RMM) 解决方案。 Proofpoint 安全研究人员表示，该活动从 3 月 7 日到 3 月 11 日这一周进行，针对的是跨越全球制造、技术和信息安全领域的以色列实体。 该企业安全公司表示：“TA450 发送的电子邮件带有包含恶意链接的 PDF 附件。” “虽然这种方法对 TA450 来说并不陌生，攻击者最近依赖于直接在电子邮件正文中包含恶意链接，而不是添加此额外步骤。” MuddyWater 被认为是自 2023 年 10 月下旬以来针对以色列组织的攻击活动中，使用了 N-able 的远程管理工具。 这并不是该组织第一次因其依赖合法远程桌面软件来实现其战略目标而受到关注，还观察到使用 ScreenConnect、RemoteUtilities、Syncro 和 SimpleHelp。 最新的攻击链涉及 MuddyWater 嵌入指向 Egnyte、Onehub、Sync 和 TeraBox 等文件共享网站上托管的文件链接。据称，一些以付费为主题的网络钓鱼邮件是从与“co.il”（以色列）域相关的可能已受感染的电子邮件帐户发送的。 在下一阶段，单击 PDF 诱饵文档中的链接将导致检索包含 MSI 安装程序文件的 ZIP 文件，该文件最终会在受感染的系统上安装 Atera Agent远程管理软件。MuddyWater 对 Atera Agent 的使用可以追溯到2022 年 7 月。 MuddyWater 策略发生转变之际，一个名为 Lord Nemesis 的伊朗黑客组织针对以色列学术界发起了软件供应链攻击，对一家名为 Rashim Software 的软件服务提供商进行了攻击。 OP Innovate 安全研究团队在一份报告中称，Lord Nemesis 组织使用从 Rashim 泄露事件中获得的凭证渗透到该公司的多个客户，包括众多学术机构。该组织声称在攻击活动中获得了敏感信息，他们可能会利用这些信息进行进一步的攻击或向受影响的组织施加压力。 Lord Nemesis 通过劫持管理员帐户并利用该公司不完善的多重身份验证 (MFA) 保护来获取 Rashim 基础设施的未经授权的访问权限来获取感兴趣的个人数据。 该公司还于 2024 年 3 月 4 日（即初次泄露事件发生四个月后）向 200 多名客户发送了电子邮件，详细说明了事件的严重程度，攻击者访问 Rashim 系统的确切方法尚未披露。 安全研究员 Roy Golombick 表示：“该事件凸显了第三方供应商和合作伙伴（供应链攻击）带来的重大风险。” “这次袭击突显了国家背景的黑客组织日益增长的威胁，他们以规模较小、资源有限的公司为目标，以此作为推进其地缘政治议程的手段。” “通过成功入侵 Rashim 的管理帐户，Lord Nemesis 黑客组织有效规避了众多组织实施的安全措施，使自己获得更高权限并不受限制地访问敏感系统和数据。”   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/tkwD-AAo5HvRhFzDvT1TaQ 封面来源于网络，如有侵权请联系删除

欧洲零售连锁店Pepco在其官方新闻稿中透露，该公司被复杂的网络钓鱼攻击骗取了大量资金。Pepco Group 的匈牙利分公司拥有 Poundland、 Dealz 及欧洲多个国家的 Pepco 等品牌，该分公司已成为网络犯罪分子的受害者，总经济损失约为 1500 万欧元。目前尚不清楚这笔钱是否会被追回，该公司正在积极与执法部门和银行合作，试图找到并冻结被盗资金。 Pepco强调，网络攻击并未影响普通客户、供应商或员工的个人数据。此外，该公司还向客户和业务合作伙伴保证了公司的财务实力，并表示可以获得超过 4 亿欧元的现金和债务流动性。 新闻稿还宣布对所有系统和流程进行全面审核，以加强未来的业务安全。 尽管该公司没有透露此次攻击的技术细节，但 Pepco 有可能是商业电子邮件泄露 ( BEC ) 攻击的受害者，该攻击涉及商业电子邮件的欺诈性使用。 转自安全客，原文链接：https://www.anquanke.com/post/id/293618 封面来源于网络，如有侵权请联系删除

网络安全公司Enea近日发布的一份报告指出，随着以人工智能驱动的的语音钓鱼(vishing)和短信钓鱼(smishing)攻击激增，自2022年11月OpenAI发布ChatGPT以来，网络钓鱼(phishing)攻击整体增加了惊人的1265%。 移动欺诈损失惨重，安全性成企业采购电信服务关键依据 报告显示，61%的企业因移动欺诈遭受了重大损失，其中短信钓鱼和语音钓鱼是最普遍且造成损失最多的攻击手段。 51%的企业期望电信运营商保护他们免受语音和移动消息欺诈，他们认为电信运营商在欺诈防护中扮演的角色比云提供商、托管IT提供商、系统集成商或软件供应商更重要，85%的企业表示安全性是他们在电信服务采购决策中的重要考量因素。 但另一方面，多达61%的企业表示移动欺诈带来的损失居高不下，超过四分之三的企业表示没有投资短信垃圾邮件或语音诈骗/欺诈保护。 电信运营商安全态势不容乐观 尽管大多数企业表示安全性是他们在电信采购决策中的重要考量因素，但只有59%的受访电信运营商表示部署了消息防火墙，51%表示他们实施了信令防火墙。 只有46%的受访电信运营商采用了某种威胁情报服务，这意味着大多数电信运营商无法（及时）识别新的安全威胁。 人工智能时代，网络安全是电信运营商的核心竞争力 报告强调，重视安全的电信运营商通常具备更强的安全能力、更好的资金支持和更高的安全优先级，其安全漏洞未被发现或未得到缓解的可能性只有追随者的一半不到(12%vs25%)。此外，网络安全能力领先的电信运营商更可能将网络安全视为创造收入的机会(31%vs19%)。 Enea公司网络安全部门高级副总裁兼主管John Hughes评论道：“随着人工智能技术变得更容易被网络犯罪分子利用，移动欺诈急剧上升，尤其是在像ChatGPT这样的先进技术出现之后，加强网络安全措施已经成为关键需求。调查显示，企业对电信运营商安全能力的期望值与其实际情况存在较大差距。”   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/59i32ksNuRRlUvki30mmOg 封面来源于网络，如有侵权请联系删除

网络钓鱼即服务（PhaaS）平台 “LabHost “一直在帮助网络犯罪分子攻击北美银行，尤其是加拿大的金融机构，近日的攻击活动明显增加。 PhaaS 平台向网络犯罪分子提供整套网络钓鱼工具、托管网页的基础设施、电子邮件内容生成和活动概述服务，可按月订购。 LabHost 并不是一家新的提供商，但在 2023 年上半年为加拿大银行推出定制网络钓鱼工具包后，其受欢迎程度急剧上升。 Fortra 在跟踪网络犯罪分子的活动后报告说，LabHost 已经超越了之前的 PhaaS 平台 Frappo，LabHost 现在成为了针对加拿大银行客户的大多数网络钓鱼攻击背后“助力”。 虽然 LabHost 在 2023 年 10 月初曾出现过一次破坏性的中断，但目前它的各项服务已恢复正常，每月都会协助网络网络犯罪分子发起数百次攻击。 观测到的 PhaaS 活动（Fortra） 两周前，ortra 首次在其博客上发布了一篇文章，提醒人们注意新出现的威胁，但昨天又增加了有关 LabHost 及其内部运作的更多细节，据推测，这是在他们用自己的账户潜入该公司后发布的。 LabHost内部情况 LabHost 提供三个会员等级，分别为： 标准（179 美元/月） 高级（249 美元/月） 世界（300 美元/月） 第一个级别主要针对加拿大银行，第二个级别包括美国银行，第三个级别针对除北美以外的全球 70 家机构。 除了针对银行的钓鱼工具包，这些模板还包括针对 Spotify 等在线服务、DHL 等邮政快递服务以及地区电信服务提供商的钓鱼网页。购买了 LabHost 面板访问权限的网络犯罪分子可获得多个安装选项定制攻击。 网络钓鱼定制选项 LabHost 通过将网络钓鱼过程与实时网络钓鱼管理工具 “LabRat “相连接，使攻击者能够窃取目标账户的 2FA 保护。 Fortra 解释称，LabHost提供的所有诈骗工具包都与名为LabRat的实时活动管理工具一同运行。LabRat 允许网络钓鱼者控制和监控他们的主动攻击，这种功能在中间人攻击中被用来获取双因素验证码、验证有效凭证和绕过其他安全检查。 用于实施攻击的 LabRat 工具 LabHost 在 10 月中断后重新开始运营时，还推出了一种名为 “LabSend “的新短信垃圾邮件发送工具，该工具在短信中嵌入了指向 LabHost 钓鱼页面的链接。 Fortra的报告提到，LabSend工具可以在多个SID之间协调自动钓鱼活动，随机化短信的部分内容，以躲避编入目录的恶意垃圾短信的检测。在发送短信诱饵后，LabSend 还能够使用可定制的信息模板自动回复受害者的消息。 在 Telegram 上推广 LabSend 新功能 网络钓鱼即服务（Phishing-as-a-Service）平台能够协助初级黑客更便捷地接触网络犯罪，这大大增加了威胁行为者的数量，导致网络安全事件加剧。 除了LabHost外，研究人员还警告大家警惕 “Greatness “和 “Robin Banks” 两大PhaaS 平台，这两个平台都是在 2022 年中期推出的，其特点是绕过 MFA、定制网络钓鱼工具包和管理面板。   转自Freebuf，原文链接：https://www.freebuf.com/news/392751.html 封面来源于网络，如有侵权请联系删除