上周五（12月29日），一位名为 Olusegun Samson Adejorin 的尼日利亚黑客因对马里兰州和纽约州的两个慈善组织实施诈骗行为在加纳被捕，并面临与商业电子邮件泄密 (BEC) 攻击有关的指控。 根据美国联邦大陪审团的八项指控，Adejorin 面临的指控包括电信欺诈、严重身份盗窃和未经授权访问受保护的计算机，这些行为与针对马里兰州两家慈善组织的攻击有关，该攻击导致美国一家慈善组织损失超过 750 万美元。 Adejorin窃取数百万美元，将面临最高20年刑期 美国司法部（DoJ）在本周发布的一份公告中提到，Adejorin 的诈骗计划最早始于 2020 年 6 月至 8 月期间，他不仅冒充员工还非法访问了员工的电子邮件账户。 Adejorin 冒充某慈善机构员工，要求为其提供投资服务的另一家慈善机构中提取大笔资金，而为了顺利完成超过 10000 美元的取款流程，Adejorin 使用从该员工账户中窃取的凭证，从需要批准交易的员工账户中发送了电子邮件。 此外，美国司法部还补充称：作为该计划的一部分，Adejorin 还涉嫌购买了一种用于窃取电子邮件登录凭证的凭证收集工具。他注册了欺诈性域名，然后将欺诈性电子邮件藏在了员工的邮箱中一个不显眼的位置。 通过这种方式，Adejorin 成功诱骗慈善机构人员将 750 万美元转入其银行账户中，转账的慈善组织在整个过程中并未察觉到异常，以为是将这些款项存入了该员工的合法银行账户中。 根据法律规定，Adejorin 因电信诈骗罪将面临最高 20 年的刑期，因未经授权访问受保护计算机罪将面临 5 年的刑期，因严重身份盗窃罪将面临 2 年的强制刑期。 美国司法部的公告还指出，恶意注册和使用域名的刑期可延长 7 年。 近年来，商业邮件欺诈 (Business Email Compromise, BEC)攻击在流行性和创新性方面都得到了发展。BEC 欺诈各不相同，但它们一般都有一个共同点，就是瞄准那些拥有金融控制权的工作人员（无论其是在大型或小型组织中），然后对其实施有针对性的鱼叉式网络钓鱼攻击。 BEC 攻击也称为 CEO 欺诈，严重的会造成重大经济损失。去年夏天，美国联邦调查局的一份报告指出，商业电子邮件泄露已造成数十亿美元的损失。 面对此类攻击，可采取的合理防御措施包括：实施多因素身份验证，以减少未经授权访问账户的可能性；使用电子邮件过滤来检测和阻止网络钓鱼企图；建立一个验证程序，以支持电汇请求，并使用第二通信渠道。比如，当收到可疑的消息，通知你更改银行账户信息时，可以与合作伙伴取得联系进行确认，这样能避免很多不必要的损失。 转自FreeBuf，原文链接：https://www.freebuf.com/news/388636.html 封面来源于网络，如有侵权请联系删除

近日，马来西亚皇家警方宣布已将 BulletProftLink 网络钓鱼即服务（PhaaS）平台查封。据悉，该平台拥有数千名用户，并向用户提供约 300 多个网络钓鱼模板。 2015 年，BulletProftLink开始投入运营。2018 年开始活动越来越频繁，很多人通过付费后拿到了大量的网络钓鱼凭据，这也引起了研究人员的关注。 PhaaS 平台通过 “即用型 “工具包和模板、页面托管、定制选项、凭据收集和反向代理工具，为网络犯罪分子提供实施网络钓鱼攻击的工具和资源。 2020 年，网络安全专家 Gabor Szathmari 曾在一份公开来源情报研究中详细提到了调查该平台负责人的全过程。 2021 年 9 月，微软公司发布了一份报告警告称，该平台向买家提供的服务很可能会导致大量网络钓鱼攻击活动。同时，该服务还收集了多名用户在网络钓鱼攻击中窃取的所有凭证。 BulletProftLink 被查封 在澳大利亚联邦警察局和联邦调查局的协助下，马来西亚警方成功捣毁了该违法平台，同时关闭了其在非法商店使用的多个域名。 11 月 6 日，警方共逮捕了八人，其中也包含该行动的头目。警方在此次行动中还缴获了藏有约 21.3 万美元的加密货币钱包、服务器、电脑、珠宝、车辆和支付卡。 执法部门在没收了该平台的服务器后，可通过进一步检查确定平台用户的身份。这些用户中，有一些会每月支付 2000 美元订阅费，这样他们就可以定期访问大量的凭证日志。 网络犯罪情报公司 Intel471s 表示，截至 2023 年 4 月，BulletProftLink 共有 8138 名活跃用户，在该平台上可访问 327 个钓鱼页面模板。 BulletProftLink面板，图源：Intel471 自微软 2021 年发布报告以来，该平台的用户数量增长了 403%，这说明该平台在网络犯罪社区中很受欢迎。 Intel 471 表示，BulletProftLink 在被关闭前提供的钓鱼资源很丰富，其中包括微软 Office、DHL、韩国在线平台 Naver 以及美国运通、美国银行、消费者信用联盟和加拿大皇家银行等金融机构的登录页面。 会员可购买钓鱼网页，图源：Intel471 为了躲避电子邮件安全工具，其中一些钓鱼网页会托管在谷歌云和微软 Azure 等合法云服务上。此外，BulletProftLink 的库存还提供 Evilginx2 反向代理工具，该工具可实现中间对手 (AITM) 网络钓鱼攻击，从而绕过多因素身份验证保护。 这是专业网络犯罪分子初步访问公司系统的重要凭证来源。攻击者一旦有了公司网络作为攻击的立足点，就可以实现快速侦察，继而横向移动到主机中实施最终攻击。       转自Freebuf，原文链接：https://www.freebuf.com/news/383614.html 封面来源于网络，如有侵权请联系删除  

The hacker news 网站披露，安全研究人员发现一个名为 AtlasCross 的网络攻击组织利用红十字会主题的网络钓鱼诱饵，传播两个名为 DangerAds 和 AtlasAgent 的新型后门程序。 NSFOCUS 安全实验室表示此次网络钓鱼攻击活动是网络攻击者对特定目标实施定向攻击的一部分，也是其实现域内渗透的主要手段，并指出发动此次活动的攻击者具有较高的技术水平和谨慎的攻击态度。 本次网络钓鱼攻击活动的攻击链始于一个带有宏的微软文档，该文档自称是关于美国红十字会的献血驱动程序，一旦受害目标点击启动后，便会运行恶意宏设置持久性，将系统元数据外泄到一个远程服务器（data.vectorse[.]com）。（该服务器是美国一家结构和工程公司合法网站的子域） 启动程序还会提取一个代号为 DangerAds 的  KB4495667.pkg ，该文件充当加载程序以启动外壳代码，部署一个C++恶意软件 AtlasAgent。据悉该恶意软件能够收集系统信息、外壳代码操作和运行命令以获得反向外壳，并将代码注入指定进程中的线程。 值得一提的是，网络攻击者在 AtlasAgent 和 DangerAds 上都加入了规避功能，最大程度上降低了被安全工具发现的可能性。 NSFOCUS 指出 AtlasCross 组织涉嫌利用已知的安全漏洞入侵公共网络主机，并将其变成命令和控制（C2）服务器，安全人员在美国发现了 12 台被入侵的服务器。 至于 AtlasCross 及其支持者的真实身份目前仍是一个谜。不过，可以判断这些网络攻击者采用的攻击流程非常强大和成熟。 最后，NSFOCUS 公司强调在现阶段 AtlasCross 的活动范围相对有限，主要集中在对网络域内的特定主机进行有针对性的攻击。   转自Freebuf，原文链接：https://www.freebuf.com/news/379537.html 封面来源于网络，如有侵权请联系删除

The Hacker News 网站披露，乌克兰军事实体组织近期成为一起网络钓鱼攻击活动的目标，某些网络犯罪分子利用无人机服务手册为诱饵，传播一种名为 Merlin 的工具包（基于 Go 语言开发）。 网络安全公司 Securonix 研究人员 Den Iuzvyk、Tim Peck 和 Oleg Kolesnikov 向 The Hacker News 透露，无人机/无人驾驶飞行器（UAV）一直以来都是乌克兰军方惯用的军事手段，因此以 UAV 服务手册为主题的恶意软件“引诱文件”，就成为网络攻击者常用的方式之一。 目前， Securonix 正在以 STARK#VORTEX 为名追踪这一网络攻击活动。 经过安全研究人员分析，此次钓鱼攻击从一个微软编译的 HTML帮助（CHM）文件开始发起，一旦打开后，便会运行嵌入在其中一个 HTML 页面中的恶意 JavaScript，然后执行旨在联系远程服务器获取混淆二进制文件的 PowerShell 代码。 随后，解码基于 Windows 的有效载荷，提取 Merlin Agent，Merlin Agent 又被配置为与命令与控制 (C2) 服务器通信，以方便网络攻击者进行后期开发行动，从而有效夺取主机控制权。 研究人员强调虽然本次攻击的攻击链相当简单，但网络攻击者利用了一些相当复杂的技术手段和混淆方法来逃避检测。 值得一提的是，2023 年 8 月初，乌克兰计算机应急小组（CERT-UA）曾披露了一个类似的攻击链，网络攻击者利用 CHM 文件作为诱饵，用开源工具感染受害者计算机系统。 CERT-UA 将攻击活动归咎于其监控的一个名为 UAC-0154 的网络攻击组织。 研究人员指出攻击链中使用的文件和文档能够很好地绕过防御系统，通常情况下，通过互联网接收微软帮助文件会被认为极不寻常。 最后，CERT-UA 表示其在几周前，检测到了俄罗斯国家支持的名为 APT28 的组织对该国一个未命名的关键能源基础设施发动了网络攻击，但未获成功。   转自Freebuf，原文链接：https://www.freebuf.com/news/379281.html 封面来源于网络，如有侵权请联系删除

身份服务提供商Okta上周五（9月1日）警告称，有威胁行为者针对该公司进行了一次社会工程攻击获得了管理员权限。 该公司表示：最近几周，多家美国Okta客户报告了多个针对IT服务人员的社会工程攻击。这些威胁行为者会打电话给服务台人员，然后要求重置高权限用户注册的所有多因素身份验证（MFA）因子，从而开始滥用Okta超级管理员帐户的最高权限来冒充受感染组织内的用户。该公司表示，这些活动发生在2023年7月29日至8月19日之间。 虽然Okta没有透露威胁参与者的身份，但其使用的攻击战术符合名为“Muddled Libra”的活动集群的所有特征，据说它与“Scattered Spider”和“Scatter Swine”也有一定的关联。 这些攻击的核心是一个名为 0ktapus 的商业网络钓鱼工具包，它提供预制模板来创建更为逼真的虚假身份验证门户，并最终获取凭证和多因素身份验证（MFA）代码。它还通过Telegram整合了一个内置的命令与控制 (C2) 通道。 Palo Alto Networks 的第42部门曾在 2023 年 6 月告诉《The Hacker News》，有多个威胁行为体正在 “将其添加到自己的武器库中”，而且 “仅使用 0ktapus 钓鱼工具包并不一定能将威胁行为体归类为 “Muddled Libra”。 该公司还表示，它无法找到足够的关于目标定位、持续性或目的的数据，以确认该行为体与谷歌旗下的 Mandiant 追踪的一个未分类组织 UNC3944 之间的联系。据悉，该组织也采用类似的手法。 Trellix 研究员 Phelix Oluoch 在上个月发布的一份分析报告中指出：Scattered Spider 主要针对电信和业务流程外包（BPO）组织。然而，最近的活动表明这个组织已经开始瞄准其他行业，包括关键基础设施组织。 在最新的一组攻击中，威胁分子已经掌握了属于特权用户账户的密码，或者 “能够通过活动目录（AD）操纵委托身份验证流”，然后再致电目标公司的 IT 服务台，要求重置与账户相关的所有 MFA 因子。 超级管理员账户的访问权限随后被用来为其他账户分配更高的权限，重置现有管理员账户中的注册验证器，甚至在某些情况下从验证策略中移除第二要素要求。 Okta表示：据观察，威胁行为者已经配置了第二个身份提供程序，以作为’冒充的应用程序’，代表其他用户访问被入侵组织内的应用程序。”这第二个身份提供商也由攻击者控制，将在与目标的入站联盟关系（有时称为’Org2Org’）中充当’源’IdP”。 通过这个’源’IdP，威胁者操纵了第二个’源’身份提供商中目标用户的用户名参数，使其与被攻击的’目标’身份提供商中的真实用户相匹配。这就提供了以目标用户身份单点登录（SSO）目标身份提供商应用程序的能力。 该公司建议客户执行防网络钓鱼身份验证，加强服务台身份验证流程，启用新设备和可疑活动通知，并审查和限制超级管理员角色的使用，从而更好的应对此类攻击。     转自Freebuf，原文链接:https://www.freebuf.com/news/376952.html 封面来源于网络，如有侵权请联系删除

根据Perception Point和Osterman Research的最新调查，越来越多的网络犯罪分子在网络钓鱼和BEC（商业电子邮件泄露）等电子邮件攻击中使用了（生成式）人工智能技术，九成受访企业表示已经遭受过人工智能增强的电子邮件攻击。与此同时，越来越多的电子邮件安全解决方案也开始使用人工智能技术来应对此类攻击。 调查显示，91.1%的受访企业表示他们已经遇到过人工智能增强的电子邮件攻击，84.3%的企业预计人工智能将继续被用来绕过现有的邮件安全系统。因此，基于人工智能技术的电子邮件安全防护比以往任何时候都更加重要。 人工智能已经成为电子邮件安全的“刚需” 调查显示，近80%的受访企业认为电子邮件安全是网络安全的三大优先事项之一。但随着时间的推移，传统电子邮件安全方法已被证明效果较差。96.9%的受访者实施了人工智能电子邮件安全方案，因为传统的邮件安全防御措施无法有效应对紧急威胁。 在过去12个月中，认为人工智能技术对于电子邮件防御“极其重要”的受访者比例增加了4倍多。几乎所有受访企业都认为人工智能技术将在电子邮件防御体系中发挥中等或极其重要的作用。 人工智能电子邮件安全的三大趋势如下： 人工智能增强的网络安全技术不仅仅适用于电子邮件：购买人工智能增强邮件安全方案的企业还希望人工智能技术能更好地保护其他通信和协作应用程序，例微软的Teams、SharePoint、OneDrive，以及Zoom、Slack、Salesforce等应用。 没有响应和缓解功能的人工智能检测是误导性的：通过人工智能检测电子邮件中威胁的能力是至关重要的第一步，但不是全部。企业需要培训网络安全专业人员和SOC团队，以充分利用人工智能技术对已识别的安全事件做出快速有效的响应。 企业正在利用新的人工智能工具加强防御：随着电子邮件威胁环境的变化，企业正在实施新的防御。九成受访企业已经在云电子邮件提供商提供的解决方案之外实施了人工智能电子邮件安全解决方案。     转自GoUpSec，原文链接:https://mp.weixin.qq.com/s/vY4GOZeAjlJtmNNOAht9EQ 封面来源于网络，如有侵权请联系删除

近日，Cofense发现了一次专门针对美国能源公司的网络钓鱼攻击活动，攻击者利用二维码将恶意电子邮件塞进收件箱并绕过安全系统。 Cofense 方面表示，这是首次发现网络钓鱼行为者如此大规模的使用二维码进行钓鱼攻击，这表明他们可能正在测试用二维码作为攻击载体的有效性。 在归因于该活动的 1,000 封电子邮件中，约有三分之一（29%）是针对美国一家大型能源公司的，其余的则是针对制造业（15%）、保险业（9%）、科技业（7%）和金融服务业（6%）的公司。 不过Cofense 并没有透露此次活动的目标能源公司具体名称，只将其归类为美国的一家 “大型 “公司。 二维码钓鱼活动 来源：Cofense Cofense 网络钓鱼中的二维码 Cofense 方面称，攻击开始时会先发送一封钓鱼电子邮件，提醒收件人必须尽快更新其 Microsoft 365 帐户设置。邮件中的 PNG 或 PDF 附件会带有二维码，收件人会被提示扫描以验证其账户。为了增加紧迫感，邮件还指出收件人必须在 2-3 天内完成这一步骤。 网络钓鱼电子邮件样本 来源：Cofense Cofense 威胁行为者使用嵌入在图片中的 QR 代码绕过电子邮件安全工具，这些工具会扫描邮件中的已知恶意链接，从而使网络钓鱼邮件到达目标收件箱。 为了规避安全问题，钓鱼活动中的 QR 代码还使用了必应、Salesforce 和 Cloudflare 的 Web3 服务中的重定向功能，将目标重定向到 Microsoft 365 钓鱼页面。 在 QR 代码中隐藏重定向 URL、滥用合法服务以及为钓鱼链接使用 base64 编码都有助于逃避检测和通过电子邮件保护过滤器。 重定向 URL 示例（Cofense） 网络犯罪分子利用二维码窃取凭证和财务信息 QR 码过去也曾被攻击者用于其在法国和德国的网络钓鱼活动，尽管规模较小。此外，这些诈骗者还利用二维码诱骗人们扫描，并将他们重定向到恶意网站，试图窃取他们的钱财。 2022 年 1 月，美国联邦调查局警告称，网络犯罪分子越来越多地利用二维码窃取凭证和财务信息。尽管二维码能有效绕过保护措施，但它仍然需要受害者采取行动才能被破解，这是一个有利于训练有素人员的决定性缓解因素。 此外，现代智能手机上的大多数二维码扫描器都会要求用户在启动浏览器前验证目标 URL，以此作为保护措施。 除培训外，Cofense 还建议企业使用图像识别工具作为其网络钓鱼防护措施的一部分，尽管这些工具不能保证捕捉到所有 QR 代码威胁。     转自Freebuf，原文链接:https://www.freebuf.com/news/375201.html 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 在过去的六个月里，利用Cloudflare R2托管网络钓鱼页面的攻击者增加了61倍。 Netskope安全研究员Jan Michael说:“大多数网络钓鱼活动的目标是微软的登录凭证，尽管也有一些页面针对Adobe、Dropbox和其他云应用程序。” Cloudflare R2类似于Amazon Web Service S3、Google Cloud Storage和Azure Blob Storage，是一种面向云的数据存储服务。 与此同时，恶意软件下载的云应用总数已增至167个，其中微软OneDrive、Squarespace、GitHub、SharePoint和Weebly占据了前五名。 Netskope发现网络钓鱼活动不仅滥用Cloudflare R2来分发静态网络钓鱼页面，而且还利用该公司的Turnstile产品(CAPTCHA替代品)，将此类页面放置在反机器人屏障后面以逃避检测。由于CAPTCHA测试失效，这样做可以防止像urlscan这样的在线扫描程序到达实际的网络钓鱼站点。作为规避检测的附加层，恶意站点被设计为仅在满足某些条件时加载内容。 “恶意网站要求引用网站在URL中的散列符号后面包含时间戳，以显示实际的网络钓鱼页面，”Michael说。“另一方面，引用网站需要将网络钓鱼网站作为参数传递给它。” 如果没有传递URL参数到引用站点，访问者将被重定向到www.google[.]com。 一个月前，这家网络安全公司披露了一场网络钓鱼活动的细节。黑客在AWS Amplify上托管虚假登录页面，窃取用户的银行和微软365凭证，还通过Telegram的Bot API窃取银行卡支付细节。     消息来源：thehackernews，译者：Linn；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc ” 并附上原文

近日，微软称有一个与俄罗斯对外情报局有关的名为APT29的黑客组织，针对全球数十个组织包括政府机构等进行了网络钓鱼攻击。 微软方面透露，根据目前调查显示，此次攻击活动影响了全球约40个组织。并且此次攻击活动表明该黑客组织将政府、非政府组织(ngo)、IT服务、技术、离散制造业和媒体部门等设置成了特定间谍目标。 黑客利用被入侵的 Microsoft 365 租户创建了新的技术支持主题域并发送技术支持诱饵，试图利用社交工程策略欺骗目标组织的用户。 他们的目的是操纵用户批准多因素身份验证（MFA）提示，最终窃取他们的凭证。 攻击者利用被入侵的 Microsoft 365 租户创建了以技术支持为主题的新域。这些新域是 “onmicrosoft.com “域的一部分，而 “onmicrosoft.com “域是一个合法的微软域，在没有创建自定义域的情况下，Microsoft 365 会自动将其用作备用域。 然后，他们利用这些域发送技术支持诱饵，欺骗目标组织的用户批准多因素身份验证 (MFA) 提示。 APT29团队网络钓鱼消息，图源：微软 由于这些信息均来自合法的 onmicrosoft.com 域名，这使得这些假冒的微软支持信息看起来很值得信赖。 根据雷德蒙德的公告，威胁行为者的最终目的是窃取目标用户的凭证。 微软方面补充称：在某些情况下，行为者试图通过微软 Entra ID（前身为 Azure Active Directory）将设备添加到组织中作为受管设备，这很可能是为了规避为限制受管设备访问特定资源而配置的条件访问策略。 该公司报告称，已成功阻止俄罗斯威胁组织在其他攻击中使用这些域，目前正在积极应对并降低该活动的影响。 Jumpsec安全研究人员上个月发现一个安全问题 上个月，Jumpsec安全研究人员发现Microsoft Teams中存在一个安全问题，该问题可让任何人使用由美国海军红队成员 Alex Reid 开发的名为 TeamsPhisher 的 Python 工具绕过对来自外部租户的传入文件的限制，但微软拒绝解决此问题。 JumpSec 在 6 月份报告该漏洞时，微软表示该漏洞 “不符合立即提供服务的标准”。 BleepingComputer 也联系了微软，询问是否有计划修复这个问题，并被告知客户应该注意可疑信息。 但微软发言人告诉 BleepingComputer：他们已经注意到这个报告，并确定它是依靠社会工程学而成功的。一直以来微软都鼓励客户养成良好的上网计算习惯，包括在点击网页链接、打开未知文件或接受文件传输时保持谨慎。 不幸的是，APT29的社会工程攻击也影响了政府机构，这凸显了这种攻击可能产生的巨大影响，即使是对保护良好的实体。 黑客组织APT29已成功隐蔽多年 APT29 是俄罗斯对外情报局 (SVR) 的黑客部门，三年前曾策划过 SolarWinds 供应链攻击事件，导致多个美国联邦机构遭到入侵。 自那次事件后，这个黑客组织还利用隐蔽的恶意软件（包括 TrailBlazer 和 GoldMax Linux 后门变种）渗透到其他组织的网络中，成功隐蔽了多年一直未被发现。 最近，微软披露，该黑客组织正在使用新的恶意软件，夺取活动目录联盟服务（ADFS）的控制权，以 Windows 系统中任何用户的身份登录。 他们瞄准了北约国家实体的 Microsoft 365 账户，试图获取与外交政策相关的信息。同时，他们还发起了一系列网络钓鱼活动，明确针对欧洲各国政府、大使馆和高级官员。     转自Freebuf，原文链接:https://www.freebuf.com/news/373728.html 封面来源于网络，如有侵权请联系删除

近日，有安全研究人员警告称，有越来越多的网络钓鱼活动利用谷歌加速移动页面(AMP)绕过电子邮件安全措施，进入企业员工的收件箱。 谷歌AMP是由谷歌和30个合作伙伴共同开发的一个开源HTML框架，旨在加快网页内容在移动设备上的加载速度。 AMP 网页托管在谷歌的服务器上，内容经过简化，并预先加载了一些较重的媒体元素，以加快交付速度。 在钓鱼邮件中嵌入谷歌 AMP URL 的目的是确保电子邮件防护技术不会因为谷歌的良好声誉而将邮件标记为恶意或可疑邮件。 AMP URL 会触发重定向到恶意钓鱼网站，这个步骤还额外增加了一个干扰分析的层。 谷歌AMP重定向到钓鱼网站，图源：Cofense 反钓鱼保护公司 Cofense 的数据显示，使用 AMP 的网络钓鱼攻击数量在 7 月中旬大幅飙升，这表明威胁行为者可能正在采用这种方法进行一些行动。 利用谷歌 AMP 实现隐身的钓鱼电子邮件，图源：Cofense Cofense在报告中解释说：在目前观察到的所有谷歌AMP URL中，约77%托管在google.com域名上，23%托管在google.co.uk域名上。 虽然 “google.com/amp/s/”路径在所有情况下都很常见，但阻止这种路径也会影响所有使用 Google AMP 的合法情况。不过，如果遇到了就直接打上标记，这可能是最合适的做法，至少可以提醒收件人警惕潜在的恶意重定向。 额外的隐蔽性 Cofense 称，滥用 Google AMP 服务的网络钓鱼行为者还采用了一系列额外的技术，这些技术共同帮助他们躲避检测并提高成功率。 例如，在 Cofense 观察到的许多案例中，威胁行为者使用基于图片的 HTML 电子邮件，而不是传统的文本正文。这样做的目的是混淆文本扫描仪，使其无法在邮件内容中查找常见的网络钓鱼术语。 基于图像的网络钓鱼电子邮件，图源：Cofense 在另一个案例中，攻击者使用了一个额外的重定向步骤，通过滥用 Microsoft.com URL 将受害者带到一个 Google AMP 域，并最终将其带到真正的钓鱼网站。 攻击者利用 Cloudflare 的 CAPTCHA 服务来阻止安全机器人对网络钓鱼网页进行自动分析，从而阻止爬网程序访问这些网页。 总之，如今安全工具想要捕捉并阻止网络钓鱼行为者越来越难了，因为他们采用了多种规避检测的方法。     转自Freebuf，原文链接:https://www.freebuf.com/news/373624.html 封面来源于网络，如有侵权请联系删除