01
利用损坏的word文件钓鱼
新的钓鱼攻击手法正在利用微软的Word文件恢复功能,通过发送损坏的文档作为电子邮件附件,以规避安全软件的检查,同时仍能被用户恢复。这种策略旨在欺骗收件人通过与钓鱼网站链接的二维码提供他们的凭证。攻击者不断寻找新的方法来规避电子邮件安全软件,并将他们的钓鱼邮件发送到目标的收件箱。这些附件使用了大量的主题,都围绕员工福利和奖金,包括年度福利和奖金等。当打开附件时,Word会检测到文件已损坏,并提示用户恢复内容。恢复的文档指示用户扫描二维码,导向模仿微软登录的钓鱼网站。大多数防病毒解决方案无法检测到这些损坏的文件,从而使钓鱼攻击成功。
这种新型钓鱼攻击的主要技术特点是利用微软的Word文件恢复功能,通过发送损坏的Word文档作为电子邮件附件,使其由于损坏状态而能够规避安全软件的检查,但仍能被应用程序恢复。攻击者通过模仿工资和人力资源部门的电子邮件,发送包含吸引用户打开的员工福利和奖金主题的附件。当用户打开附件,Word会报告文件已损坏,并提示用户恢复内容。恢复的文档会指示用户扫描二维码,该二维码链接到模仿微软登录的钓鱼网站。由于大多数防病毒解决方案无法检测到这些损坏的文件,因此钓鱼攻击能够成功。建议用户删除可疑的电子邮件,并在打开附件之前与网络管理员确认。
来源:
https://www.hendryadrian.com/novel-phishing-campaign-uses-corrupted-word-documents-to-evade-security/
02
精密网络钓鱼骗局
日本出现一种复杂网络钓鱼骗局,目标是企业网络银行用户,这使得全国的企业不得不提高警惕。这种新型的欺诈方案结合了社会工程学策略和先进的数字欺骗手段,以侵入企业账户并进行未经授权的资金转账。骗子首先通过电话冒充银行代表,告诉目标用户他们的网络银行证书已经过期,从而制造出一种虚假的紧急情况。在这个借口下,他们向毫无戒心的企业用户索取个人信息,为他们的计划下一步铺平道路。在初次接触后,受害者会收到精心设计的含有恶意链接的网络钓鱼邮件。这些链接会引导用户进入精心设计的假冒网站,这些网站与合法的银行门户网站极其相似。
HackManac研究人员观察到,一旦在这些欺诈网站上,受害者会被提示输入他们的凭证,包括密码和一次性密码,无意中将敏感信息交给了骗子。有了这些收集到的凭证,骗子就能未经授权地访问企业账户。然后,他们会将资金转移到与企业无关的账户,使交易难以追踪和撤销。这种通过多个企业实体转移资金的方式增加了欺诈的复杂性,使得恢复工作变得困难。如果这种针对企业的网络钓鱼攻击不受到控制,这些数字可能会大幅上升。金融机构和网络安全专家敦促企业用户要极度小心。他们建议通过官方渠道验证任何声称来自银行的未经请求的通信。此外,企业应该记住,不要点击可疑的链接,也不要在没有适当验证的情况下提供敏感信息。
来源:
https://cybersecuritynews.com/beware-of-new-phishing-scam/
03
针对电商购物者的网络钓鱼
一项新的网络钓鱼活动正在针对欧洲和美国的电商购物者,通过伪造页面模仿合法品牌,目的是在黑色星期五购物季节前窃取他们的个人信息。这项活动首次在2024年10月初被观察到,高度信任地归因于一个被代号为SilkSpecter的中国金融动机威胁行为者。被模仿的品牌包括宜家、L.L.Bean、North Face和Wayfare。这些钓鱼域名使用顶级域名(TLDs)如.top、.shop、.store和.vip,经常通过拼写错误的方式模仿合法电商组织的域名以吸引受害者。这些网站推广不存在的折扣,同时悄悄收集访客信息。
这个钓鱼工具包的灵活性和可信度通过使用一个Google翻译组件得到增强,该组件根据受害者的地理位置标记动态修改网站语言。它还部署了像OpenReplay、TikTok Pixel和Meta Pixel这样的跟踪器来跟踪攻击的效果。活动的最终目标是捕获用户输入的任何敏感财务信息作为虚假订单的一部分,攻击者滥用Stripe处理交易,给他们一种合法性的错觉,而实际上,信用卡数据被窃取到他们控制的服务器。此外,受害者被要求提供他们的电话号码,这可能是因为威胁行为者计划进行后续的短信和语音钓鱼攻击以获取更多的细节,如两因素认证(2FA)代码。目前还不清楚这些URL是如何传播的,但怀疑涉及社交媒体账户和搜索引擎优化(SEO)投毒。
来源:
https://thehackernews.com/2024/11/fake-discount-sites-exploit-black.html
04
AI加剧网络钓鱼攻击
在AI人工智能的时代,网络钓鱼攻击变得更为狡猾且具有人性化特征。据CISA报告,90%的数据泄露事件源自网络钓鱼攻击。AI增强的钓鱼技术对企业构成巨大威胁,更具针对性和个人化元素的钓鱼活动,如电话呼叫,成功率提高了三倍以上,点击率超过53%。生成式AI为网络犯罪分子提供了更多机会,他们使用ChatGPT等工具进行非法活动,并开发了专门用于网络犯罪的版本,如FraudGPT和WormGPT。
生成式AI使得网络犯罪分子能够更加精细地进行网络钓鱼攻击。他们使用ChatGPT等工具进行非法活动,并开发了专门用于网络犯罪的版本,如FraudGPT和WormGPT。这些工具可以帮助犯罪分子制作出极具说服力的钓鱼邮件和钓鱼网站。只需向AI生成器输入几个简单的提示,就可以轻松制作出引诱受害者点击恶意链接的引人入胜的故事。然而,生成式AI的这种用途在2024年对组织的威胁相对较小。尽管AI创建的深度伪造(包括操纵的视频、照片或音频录音)和AI驱动的恶意软件在新闻中引起了轰动,但由于这些欺诈技术在大规模执行时难度极大,因此在2024年的数据泄露事件中占比相对较小。相反,AI增强的现有钓鱼技术构成更大的威胁。现在,全球任何地方的骗子都可以利用生成式AI制作出近乎完美的钓鱼攻击,这些攻击几乎无法被检测到,而制作深度伪造的努力则大大减少。
来源:
https://www.techtarget.com/searchsecurity/post/How-passwordless-helps-guard-against-AI-enhanced-attacks
原文始发于微信公众号(安全架构):最新这几种钓鱼攻击值得关注和防护
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论