HackerNews 编译，转载请注明出处： 网络犯罪分子正越来越多地使用一种隐蔽的”浏览器套浏览器”攻击技术，企图窃取Facebook用户的登录凭证。 根据Trellix网络安全研究人员的分析，攻击者分发钓鱼邮件的数量激增，这些邮件诱使用户访问看似可信的认证界面，意图窃取用户名和密码。 据认为，攻击目的是为了劫持账户、窃取个人数据、实施身份欺诈或向用户的联系人传播诈骗。拥有超过30亿用户的Facebook，对网络罪犯来说仍然是进行攻击和诈骗的诱人目标。 这些活动通常始于钓鱼邮件：研究人员指出，攻击者通常会分发声称来自律师事务所的诱饵邮件，警告潜在受害者需要立即采取行动以避免版权侵权索赔。攻击者已知分发的其他诱饵还包括发送有关未授权登录尝试的虚假通知，或警告账户因可疑活动即将被关闭。 这些手段的设计目的都是迫使用户惊慌失措，并按照被告知的”必要步骤”操作，以防止账户被关闭。钓鱼邮件敦促用户点击看起来像是Facebook的链接以采取必要行动——尽管这些是经过伪装的虚假短链接，目的是让其看起来更可信。 令这些攻击看似可信的是，”浏览器套浏览器”弹窗看起来非常逼真，完全符合用户对Facebook登录页面的预期。弹出的浏览器窗口包含了真实的Facebook登录页面URL，这是攻击者硬编码到认证窗口中的。此外，攻击者还会在此之前部署一个虚假的验证码窗口。这两种策略都旨在诱骗受害者相信他们正在访问真正的Facebook登录页面。 这些”申诉”页面首先要求用户提供个人信息，包括姓名、电子邮件地址、电话号码和出生日期——随后在第二个页面要求用户”确认”密码。通过这些虚假页面，攻击者获得了敏感的个人信息、用户名和密码，可用于以受害者为代价实施进一步的欺诈。 “通过在受害者浏览器内创建自定义的虚假登录弹窗，此方法利用了用户对认证流程的熟悉度，使得凭据窃取在视觉上几乎无法察觉，”Trellix表示。 为帮助防范此类钓鱼攻击，建议用户为账户启用双因素认证：即使网络犯罪分子窃取了合法的登录凭证，2FA也能自动阻止账户被接管。同时，建议用户对突然出现的、意料之外的此类请求邮件保持警惕——如果担心账户通知的真实性，应直接通过浏览器登录Facebook官网，而不是点击不熟悉的链接。 消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 新加坡政府已要求 Meta Platforms 在9月30日前采取措施，遏制Facebook上的冒充诈骗行为。 9月24日，新加坡警察部队（SPF）向该科技巨头发布了一项执行指令。次日，该指令在新加坡内政部（MHA）官网公开。 根据《网络犯罪危害法》（OCHA），SPF 的主管机构敦促Meta必须在Facebook上采取措施，打击那些冒充新加坡政府高级官员的诈骗广告、账号、个人资料和/或商业页面。 这些措施分为两类：一是为新加坡用户加强人脸识别措施，二是优先处理来自新加坡用户的诈骗举报。 如果Meta未能在9月30日前遵守，且无法提出“合理理由”解释其不合规行为，公司将面临最高 100万新元（约77.7万美元） 的罚款，并在定罪后，每延迟一天额外再罚 10万新元（约7.7万美元）。 MHA和SPF还表示，他们愿意协助Meta识别其他可能被诈骗分子冒充的新加坡公众人物。 社交媒体诈骗案件激增 新加坡MHA观察到，在 2024年6月至2025年6月 之间，社交媒体诈骗活动显著增加，其中包括冒充政府人员的虚假广告、账户和页面。 根据MHA的说法，Facebook是诈骗活动最集中的平台。 在这一期间，SPF共打击了约 2000起 出现在Meta平台上的诈骗广告活动。 MHA在声明中表示：“遏制此类冒充诈骗的蔓延至关重要，这不仅能保护公众免受伤害，也能维护公众对政府及公共机构的信任。” 虽然MHA承认Meta已采取部分措施来应对冒充诈骗风险，但这些措施仍不足以遏制此类诈骗在新加坡的泛滥。 专家：大型科技公司必须在反诈骗上投入更多 BioCatch欧洲、中东及非洲区全球咨询总监、英国伦敦警察局国家欺诈与网络犯罪举报系统前负责人 Jonathan Frost 对新加坡的决定表示欢迎，但同时担心这不足以推动Meta加大对网络诈骗的治理力度。 他指出：“新加坡对Meta的打击是朝正确方向迈出的一步，但罚款金额相对较小，不足以对大型科技公司形成真正的威慑。SPF在Facebook上阻止的2000个诈骗广告只是沧海一粟，这一问题必须由全球范围内的监管机构共同应对。” 他认为，大型科技公司应当效仿金融行业的做法，加大对反诈骗的投资。 “银行每年投入数十亿美元来保护消费者，并承担起防止诈骗的责任。然而，欺诈通常在更上游的网站和社交媒体上发生。与此同时，大型科技公司却从诈骗广告中赚取数十亿美元利润，其中 Facebook和Instagram新增广告商的70%为诈骗分子。只有协调一致的全球监管响应，才能真正约束大型科技公司，推动情报共享，并保护消费者免于遭受改变人生的财务损失。” 新加坡政府补充称，他们正在考虑向其他社交媒体平台提出类似要求。     消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 诈骗者伪装成Netflix招聘人员，正通过新的钓鱼攻击活动针对社交媒体和营销经理，意图劫持其公司的Facebook账户。以下是需要警惕的迹象。 关键要点： 冒充Netflix招聘人员的钓鱼邮件，以虚假高端职位引诱营销人员。 钓鱼网站诱骗受害者实时提交其Facebook商业账户凭证。 被劫持的账户可能用于投放恶意广告、勒索赎金或传播更多诈骗。 Malwarebytes的新研究指出，诈骗者向营销员工发送钓鱼邮件，冒充Netflix招聘人员，声称提供高薪职位。 “初始邮件看似来自猎头或人力资源（HR）招聘专家，”Malwarebytes恶意软件情报研究员Pieter Arntz表示。 邮件内容声称：“我希望这封邮件能恰当地传达给您。您作为远见卓识的营销领袖的声誉引起了我们的注意，我想与您分享Netflix的一个非凡机会。” 用高薪职位引诱受害者 该研究指出，这些钓鱼活动专门设计用于窃取营销经理、社交媒体运营人员（尤其是管理公司Facebook主页或商业账户者）的凭证。 钓鱼邮件中提供的职位包括“营销副总裁”“数字营销经理”和“社交媒体总监”等。 研究强调，攻击者获取Facebook商业账户权限后，可“利用公司的支付方式投放恶意广告、勒索赎金以归还账户控制权，或利用公司声誉传播更多诈骗”。 Arntz指出，诈骗者似乎对目标进行了开源情报（OSINT）收集，提供的职位级别与求职者的资历相匹配。 攻击流程 若求职者点击邮件中的链接，会被导向伪造的Netflix网站，要求创建“职业档案”，并提供关联Facebook账户的选项。 黑客设计的虚假网站混合了真实Netflix内容和钓鱼活动的内容。 “此时所有危险信号都应被触发，”Arntz称。无论求职者选择“通过Facebook继续”或“通过邮箱继续”，都会弹出新页面要求登录Facebook账户。 “第三方网站提供Facebook登录选项是常见做法，因此求职者点击该链接可以理解，”他解释道。 实时窃取凭证 受害者输入登录信息后，页面会自动弹出提示：“您输入的密码错误！请重试。” Arntz强调，这一登录页面证明攻击“非常复杂”：诈骗者通过WebSocket技术实时拦截凭证，能在“几秒内登录受害者的真实Facebook账户”，甚至可能“在需要时触发多因素认证（MFA）验证”。 此外，由于攻击实时发生，受害者无法察觉账户正被入侵。攻击者可利用这段时间“强制用户退出账户、向好友发送垃圾信息或进行其他任意操作”。 防护措施 Malwarebytes建议求职者采取以下防护步骤： 对未主动申请的职位邀约保持警惕； 仔细检查网站URL和邮件地址是否存在拼写错误或不一致； 确认浏览器地址栏的域名与预期一致，并核对网站内容真实性。 该机构还建议公众学习识别钓鱼攻击，尤其需警惕黑客日益使用AI生成的钓鱼邮件和虚假网站。此外，需确保浏览器、软件和操作系统及时更新，并启用具备网页防护功能的实时反恶意软件解决方案。 若怀疑遭受钓鱼攻击，应“立即更改密码、启用多因素认证，并通知公司的IT/安全团队”。 Malwarebytes表示，此次钓鱼活动通过CloudFlare服务托管，Netflix与CloudFlare均已获知研究结果。         消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员正在关注一项持续进行的攻击活动，该活动通过分发假冒加密货币交易应用来传播名为JSCEAL的编译型V8 JavaScript（JSC）恶意软件，该软件可窃取凭证和钱包数据。 根据Check Point公司的分析，此活动利用在Facebook上投放的数千条恶意广告，试图将毫无戒心的受害者重定向至虚假网站，诱导他们安装这些伪造应用。这些广告通过被盗账户或新创建的账户分享发布。 “攻击者将安装程序的功能拆分成不同的组件，尤为显著的是，将部分功能转移到了受感染网站内部的JavaScript文件中，”该公司在分析报告中指出，“这种模块化、多层次的感染流程使攻击者能在行动的每个阶段灵活调整战术和负载。” 值得注意的是，该活动的某些方面曾在2025年4月由微软以及本月早些时候由WithSecure记录在案，后者将其追踪为WEEVILPROXY。据这家芬兰安全供应商称，此活动自2024年3月就持续活跃。 研究发现，攻击链在最终投放JSC恶意负载之前，采用了一些新型反分析机制，这些机制依赖于基于脚本的指纹识别技术。 “威胁攻击者实现了一种独特的机制，要求恶意网站和安装程序必须同时运行才能成功执行，这显著增加了分析和检测的难度。”这家以色列网络安全公司指出。 点击Facebook广告中的链接会触发一系列重定向，最终根据目标的IP地址是否在期望范围或来源是否非Facebook，将受害者带至模仿TradingView等合法服务的虚假登录页或诱饵网站。 该网站还包含一个尝试与本地主机端口30303通讯的JavaScript文件，此外还托管另外两个JavaScript脚本，负责追踪安装进度以及发起由MSI安装包内组件处理的POST请求。 而从该网站下载的安装文件会解压若干DLL库，同时会在localhost:30303上启动HTTP监听器来处理来自虚假网站的传入POST请求。这种相互依赖性也意味着，如果其中任何组件失效，感染链将无法继续推进。 “为确保受害者不会怀疑异常活动，安装程序会使用msedge_proxy.exe打开一个Webview，将受害者引导至应用的官方网站。”Check Point表示。 DLL模块旨在解析来自网站的POST请求，收集系统信息并启动指纹识别过程，之后通过PowerShell后门将捕获的信息以JSON文件的形式外泄给攻击者。 如果判断受害主机有价值，感染链将进入最终阶段，通过利用Node.js执行JSCEAL恶意软件。 该恶意软件除建立与远程服务器的连接以接收进一步指令外，还会设置一个本地代理，目的是拦截受害者的网络流量，并向银行、加密货币和其他敏感网站注入恶意脚本，以实时窃取其凭证。 JSCEAL的其他功能包括收集系统信息、浏览器Cookie、自动填充密码、Telegram帐户数据、截取屏幕截图、记录按键操作、实施中间人（AitM）攻击以及操控加密货币钱包。它还可以充当远程访问木马（RAT）。 “这款复杂的恶意软件旨在完全控制受害机器，同时能抵抗常规安全工具的检测，”Check Point指出，“结合编译代码与高度混淆，同时展现出广泛的功能性，使得分析工作充满挑战且耗时。使用JSC文件使得攻击者能够简单有效地隐藏代码，助其躲避安全机制，并增加了分析难度。”       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Meta旗下社交网络平台Facebook正要求用户上传手机相册照片，通过人工智能（AI）技术生成拼贴画、内容回顾及其他创意建议，包括用户从未直接上传至服务的照片。据TechCrunch首发报道，用户尝试在Facebook创建新故事（Story）时，会收到弹出消息请求授权“允许云端处理”。 弹窗声明称：“为提供创意建议，我们将根据时间、地点或主题等信息，持续从您的相册选择媒体内容上传至云端。仅您本人可见建议内容，您的媒体文件不会用于广告定位。我们将基于安全性与完整性原则进行审核。”若用户同意照片云端处理，即视为接受Meta的AI条款——该条款允许公司分析用户媒体文件及面部特征。 Meta在帮助页面说明“该功能尚未全面开放”，目前仅限美加用户使用，并向TechCrunch强调该AI功能为选择性加入，用户可随时关闭。这再次印证科技公司在产品中竞相整合AI功能时，常以用户隐私为代价。 Meta称新AI功能不会用于定向广告，但专家仍存疑虑：用户即使同意上传私人照片视频，其数据存储时限与访问权限仍不明确。云端处理过程存在风险，尤其涉及面部识别及时间地点等隐藏信息。此类数据即便不用于广告，仍可能进入训练数据集或用于构建用户画像——如同将相册交给算法，使其持续学习用户习惯、偏好与行为模式。 上月，Meta在获得爱尔兰数据保护委员会（DPC）批准后，开始使用欧盟境内成年用户公开数据训练AI模型。2024年7月，该公司因巴西政府隐私担忧暂停生成式AI工具运营。该社交巨头还在WhatsApp新增AI功能，最新推出的是通过“隐私优先处理”（Private Processing）技术汇总未读消息。 这属于生成式AI大趋势的一部分：科技公司将便利性与追踪技术捆绑。自动拼贴或智能故事建议看似实用，实则依赖监控设备使用行为的AI系统（不限于应用内）。因此隐私设置、明确授权及数据收集限制比以往更为关键。         消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Meta周三宣布将在Facebook上支持新一代密码标准通行密钥（passkeys）。该公司在公告中表示：“通行密钥是验证身份和登录账户的新方式，比传统密码更便捷安全。”该功能预计“很快”登陆安卓和iOS移动设备，未来数月也将扩展至Messenger平台。用户使用Meta Pay支付时，通行密钥还可自动填充付款信息。 网络安全方面，通行密钥由FIDO联盟支持，用户可凭生物识别或设备锁屏PIN码安全登录在线服务。Meta强调该技术能有效防范钓鱼攻击和密码喷洒攻击：“相比传统密码和短信验证码，通行密钥具备抗猜测、抗窃取特性，可抵御恶意网站和欺诈链接。”此前Meta已在WhatsApp部署该技术：安卓版于2023年10月推出，iOS版于2024年4月上线，Instagram的部署计划暂未公布。 上月微软已在新用户账户中默认启用通行密钥登录。近期苹果也预告将在iOS、iPadOS、macOS和visionOS 26系统中，支持用户在不同密码管理器间导入导出通行密钥。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 密尔沃基工具箱或勃肯凉鞋半价促销？研究人员发现涉及数十个知名品牌仿冒、涵盖超4000个域名的庞大虚假市场诈骗网络。诈骗者正在社交媒体大量投放广告。 威胁分析机构Silent Push发现了一个名为“幽灵供应商”（GhostVendors）的巨型虚假市场网络。该网络包含超过4000个仿冒亚马逊、Argos、开市客、诺德斯特龙、劳力士、勃肯等品牌的诈骗网站。 这些网站通过Facebook Marketplace广告推广，广告痕迹在活动结束后自动消失。研究人员警告称，诈骗者利用现有Meta政策隐藏行踪：通过欺诈广告侵害各大品牌权益后彻底删除广告内容。报告指出：“威胁团伙投放恶意广告数日后便停止活动，导致所有广告痕迹从Meta广告库中清除。Meta政策规定，仅当广告处于活动状态时才会保留记录。” 与其他类似骗局相同，网络罪犯以超低价商品诱骗消费者。某案例中，诈骗者用“Millaeke”名称仿冒密尔沃基工具品牌，广告展示正品工具箱图片并标注129美元价格，推广域名wuurkf[.]com。其他广告则使用“清仓”“节日促销”等话术，诱导用户访问恶意网站。该团伙常克隆网站模板批量生成仿冒站点。 Silent Push警告称，黑客利用这些欺诈网站实施多种财务诈骗：“通过不发货或窃取支付信息达成欺诈目的”。但报告重点指出，因Meta宽松的广告数据留存规则，防御者追踪此类活动面临巨大挑战——诈骗者采用闪电式启动-停止策略逃避监测。研究人员强调：“目前无法在该网络实现恶意广告的全面追踪。”       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 攻击者声称通过滥用Meta旗下Facebook的应用程序接口（API）非法获取了包含12亿条用户记录的数据库，并将该数据集发布于知名数据泄露论坛。若得到证实，这将成为Facebook历史上最大规模的数据泄露事件之一。 网络安全媒体Cybernews研究团队对攻击者提供的10万条样本数据进行核查，发现其中包含用户ID、姓名、电子邮箱、用户名、电话号码、地理位置、生日及性别等敏感信息，初步分析显示样本数据格式完整且逻辑合理。但研究人员对“12亿条全新数据”的宣称持审慎态度，因该攻击者此前仅发布过两次数据帖，推测可能通过分批次爬取累积至此规模。 此次事件再次暴露Facebook在API安全防护上的系统性缺陷。2021年曾有攻击者泄露超5亿用户电话号码与地理位置信息，导致欧盟罚款2.65亿欧元。研究人员指出，此类重复性事件表明Meta在数据安全措施上长期采取被动应对策略，尤其在保护公开可见但依然敏感的隐私数据方面存在严重疏漏。缺乏有效防护机制使数亿用户面临钓鱼攻击、金融诈骗及身份盗用风险。 攻击者利用此类大规模数据库可实施自动化攻击，例如向用户精准推送伪装成Facebook登录页面的钓鱼链接，或结合地理位置与生日信息设计定向诈骗剧本。安全专家强调，攻击者通过API接口超量获取数据已成行业顽疾，Shopify、GoDaddy等平台近年均遭遇类似攻击。API作为现代互联网服务的基础组件，其滥用问题亟待技术性与监管层面的双重解决方案。 Meta此前承认使用公开的Facebook与Instagram数据训练AI助手，此举引发隐私合规争议。目前Meta尚未就此次泄露事件发表声明，爱尔兰数据保护委员会正评估事件影响范围。欧盟监管部门重申将依据GDPR第25条“通过设计保护数据”原则，加大对科技企业数据滥用行为的处罚力度。安全社区建议用户立即启用双重验证并监控账户异常活动。       消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

Meta宣布，它正在推迟使用成年人在 Facebook 和 Instagram 上分享的公共内容训练其大型语言模型 (LLM)，以响应爱尔兰数据保护委员会 (DPC) 的要求。 “DPC 欢迎 Meta 暂停使用欧盟/欧洲经济区成年人在 Facebook 和 Instagram 上分享的公共内容训练其大型语言模型的决定。这一决定是在 DPC 和 Meta 密切接触之后做出的。”DPC 的请求中写道。“DPC 将与其他欧盟数据保护机构合作，继续就这一问题与 Meta 进行接触。” Meta 则在声明中表示：“我们对爱尔兰数据保护委员会 (DPC) 的请求感到失望，该委员会是我们的首要监管机构，代表欧洲数据保护机构 (DPA) 推迟使用成年人在 Facebook 和 Instagram 上分享的公开内容来训练我们的大型语言模型 (LLM)——特别是因为我们采纳了监管反馈，并且自 3 月以来欧洲数据保护机构就已获悉此事。”“这对欧洲创新、人工智能开发竞争而言是倒退的一步，也进一步推迟了人工智能为欧洲人民带来的好处。” 该公司解释说，其人工智能，包括 Llama LLM，已经在世界其他地区投入使用。Meta 解释道，为了向其欧洲社区提供更好的服务，它需要根据相关信息来训练模型，这些信息反映了欧洲人民的不同语言、地理和文化背景。出于这个原因，该公司最初计划使用其在欧盟的欧洲用户在其产品和服务上公开声明的内容来训练其大型语言模型。 Meta 打算在6月26日实施这些更改，让用户可以通过提交请求选择退出数据使用。 “我们仍然非常有信心，我们的方法符合欧洲法律法规。人工智能培训并不是我们服务所独有的，而且我们比许多行业同行更透明。”声明继续说道。 “我们致力于将 Meta AI 及其驱动模型带给世界各地更多人，包括欧洲人。但简单地说，如果不包括本地信息，我们只能为人们提供二流的体验。这意味着我们目前无法在欧洲推出 Meta AI。” Meta 补充道，延迟将使其能够在开始培训之前处理英国信息专员办公室 (ICO) 的请求。   转自e安全，原文链接：https://mp.weixin.qq.com/s/8UFLQYuoWEaVcPMEX-CeqA 封面来源于网络，如有侵权请联系删除

据CyberNews消息，Meta于4月5日宣布将对旗下Facebook 和 Instagram平台上的数字创建和更改媒体政策进行调整，以遏制在美国大选前利用人工智能进行的深度伪造内容传播。 据Meta内容政策副总裁莫妮卡-比克特（Monika Bickert）透露，这一政策将从今年5月起生效，其平台上发布的由人工智能生成的视频、图片和音频将被打上相应的标签，以进行显著区分。 人工智能生成的视频、音频和图片内容上标注新的 “Made with AI”（人工智能制造）标签，旨在帮助用户识别被操纵的内容 此外。对于在重要事实问题上容易对公众造成欺骗或误导的高风险性内容，无论是否涉及人工智能生成，Meta都将为其单独贴上更醒目的标签。 这一政策预示Meta将改变对可能存在篡改风险的内容的处理方式。从过去的删除政策转变为保留，同时向观众表明有关内容制作来源及过程的信息。 Meta 此前还宣布了一项计划——利用文件中内置的隐形标记来检测使用其他公司的生成式人工智能工具制作的图片，但该计划并未给出具体的实施日期。 公司发言人告诉路透社，新的标签方法将适用于Facebook、Instagram 和 Threads 服务上发布的内容。该公司的其他服务，包括 WhatsApp 和 Quest 虚拟现实头盔将适用与之不同的规则。 在此之前，技术人员曾警告称，生成式人工智能可能会影响美国大选，对Meta甚至是OpenAI 等供应商发布的指导方针界限构成挑战。 今年 2 月，Meta 监督委员会审查了美国总统乔-拜登（Joe Biden）去年在 Facebook 上发布的一段视频后，称Meta关于“受操纵媒体内容”的现有规则 “不连贯”，这段视频篡改了真实画面，错误地暗示拜登有不当行为。由于 Meta 现行的“受操纵媒体内容”政策规定，只有在人工智能制作的视频或让人看起来说了实际上从未说过的话的视频会被禁止。 因此，董事会表示，该政策也应适用于非人工智能内容（其误导性 “不一定比人工智能生成的内容低”），以及纯音频内容和描述人们做了实际上从未做过的事情的视频。   转自Freebuf，原文链接：https://www.freebuf.com/news/397077.html 封面来源于网络，如有侵权请联系删除