HackerNews 编译，转载请注明出处： Proofpoint安全研究人员发现一种新型凭证钓鱼攻击手段，黑客通过恶意OAuth应用结合多重重定向链劫持Microsoft账户，成功率超50%。2025年至今，该攻击已影响超900个Microsoft 365环境中的近3000个账户。 攻击流程解析 钓鱼邮件启动：攻击者利用被入侵邮箱发送伪装成商业合作请求的钓鱼邮件（如报价申请、合同协议），内容针对目标行业定制化设计，曾仿冒RingCentral、DocuSign等企业服务，甚至伪装小型航空企业ILSMart。 恶意应用授权陷阱：邮件内链接导向真实的Microsoft登录授权页面，诱导用户批准伪装成Adobe、DocuSign等合法服务的恶意OAuth应用请求。这些应用仅申请基础权限（如查看个人资料），以降低用户警惕性。 多重重定向劫持：无论用户点击“接受”或“取消”授权，均被重定向至验证码中间页，随后跳转至伪造的Microsoft登录页面。该页面实时窃取输入的凭证及双重认证会话令牌。 技术特征与规模 攻击链依赖钓鱼即服务（PhaaS）平台Tycoon构建，已发现超50个恶意应用参与攻击，其中4个仿冒Adobe、5个仿冒DocuSign，其余使用无关名称混淆视听。 恶意应用在授权后配置重定向规则，通过中间域名隐藏最终钓鱼页面，利用CAPTCHA页面增强欺骗性，诱使用户误认为处于合法流程中。 防御措施与行业响应 微软宣布调整Microsoft 365默认设置：普通用户向第三方应用授予账户权限需经管理员审批，以阻断恶意应用的权限获取路径。Proofpoint强调用户需时刻验证当前域名真实性，避免在重定向过程中提交敏感信息。 趋势警示：此类结合合法OAuth框架与社交工程的攻击链正成为犯罪团伙新标准，未来或将持续演化以绕过检测机制。       消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文  

HackerNews 编译，转载请注明出处： 苹果公司周二披露，过去五年累计阻止了价值超过90亿美元的欺诈交易，仅2024年就拦截逾20亿美元。苹果表示，其应用商店正面临各类威胁，从窃取个人信息的欺诈性应用到试图利用用户的非法支付手段层出不穷。 为防止不良行为者提交恶意应用，苹果已因欺诈风险终止超过4.6万个开发者账户，并额外拒绝了13.9万次开发者注册申请。去年该公司还拦截了7.11亿次可疑账户创建，停用了近1.29亿个用户账户，以阻止这些账户从事垃圾信息传播、评分评论操控、排行榜及搜索排名干扰等危害应用商店生态的行为。 2024年其他值得关注的数据包括： 在盗版应用商店检测并拦截超过1万个非法应用，涵盖恶意软件、色情应用、赌博应用及正版应用盗版； 阻止近460万次非官方渠道安装或启动非法应用的尝试；因安全漏洞、隐私侵犯或欺诈风险驳回190万份应用上架申请； 下架3.7万余个涉及欺诈的应用，并拒绝4.3万份包含隐藏功能的提交申请； 以抄袭、垃圾信息或误导用户为由驳回32万份应用，另有40万份因隐私问题被拒； 从应用商店榜单移除7400多个潜在欺诈应用，并在搜索结果过滤近9500个欺骗性应用； 清除1.43亿条虚假评分评论； 识别470万张被盗信用卡，封禁160万个违规交易账户。 对比数据显示，苹果2023年拦截约18亿美元潜在欺诈交易，2022年拦截超20亿美元。去年该公司终止近11.8万个开发者账户。此次年度报告发布之际，谷歌今年早些时候披露2024年已阻止236万款违规安卓应用上架Google Play，并封禁15.8万个恶意开发者账户。 当前苹果正面临对其应用商店政策更严格的审查。美国近期一项裁决要求该公司允许iOS应用展示外部购买链接，打破原有的应用内支付垄断体系。       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文