恶意NPM包构建网络钓鱼基础设施,窃取关键行业凭据
根据The Hacker News及Socket的安全研究报告,技术供应链中发现了一起持续时间长达五个月的针对性攻击活动,攻击者在NPM开源注册表中发布了27个恶意软件包。这些恶意包由六个不同的NPM账户上传,旨在针对美国及其盟国的关键基础设施、销售及商业部门人员。与常见的破坏性恶意软件不同,这些包被设计为网络钓鱼基础设施,用于构建虚假的登录页面或重定向机制,以隐蔽地窃取受害者的登录凭据。攻击者采用了复杂的混淆技术来隐藏其恶意意图,使得这些包在早期未被常规安全扫描发现。一旦开发人员在内部项目中误用这些包,可能会导致企业内部凭据泄露,进而引发供应链攻击。目前,相关恶意包已被NPM官方移除。安全专家强调,开发人员在引入第三方依赖库时应严格审查发布者信誉,检查代码是否存在异常网络请求,并使用具备行为分析能力的软件成分分析(SCA)工具来防御此类投毒攻击。
攻击者滥用Google Cloud官方域名发起大规模网络钓鱼活动
Check Point Harmony Email Security团队发现了一起利用Google Cloud官方服务发起的大规模网络钓鱼活动,已波及全球超过3000家组织。攻击者滥用了Google Cloud的“Application Integration”及其“Send Email”功能,成功绕过了SPF、DKIM和DMARC等传统邮件验证机制。攻击者通过合法的Google服务器发送看似来自Google官方的通知邮件(如语音邮件提醒或文件共享通知),邮件中的链接指向googleusercontent.com等合法子域名。然而,这些链接会将用户重定向至通过CAPTCHA验证保护的恶意钓鱼页面,最终诱骗用户输入Microsoft 365或其他企业凭据。由于邮件来源和初步链接均为高信誉域名,该活动在过去两周内成功投递了近万封钓鱼邮件。专家建议企业调整邮件网关策略,不仅依赖域名信誉,还需对邮件内容的上下文及重定向链进行深度分析,并教育员工警惕即使来自“官方”域名的异常登录请求。
假期网络钓鱼激增:攻击者结合DocuSign伪装与虚假贷款诈骗
随着假期临近,Forcepoint X-Labs发布警告称,网络犯罪分子正在利用节日期间的财务需求激增,发起结合了DocuSign伪装与虚假贷款服务的网络钓鱼活动。攻击者发送伪装成DocuSign电子签名请求的电子邮件,声称有待签署的贷款批准文件或财务协议。这些邮件通常制作精良,包含官方Logo和格式,旨在利用受害者急需资金或处理年终财务的心理。点击链接后,受害者会被引导至模仿DocuSign登录界面的钓鱼网站,旨在窃取其电子邮件凭据或敏感个人财务信息。此外,部分攻击还涉及诱导用户下载含有恶意宏的文档。安全专家指出,假期是此类社会工程学攻击的高发期,建议用户直接访问服务商官网查看文档状态,切勿直接点击邮件中的“查看文档”按钮,并对任何未申请过的“预批贷款”保持高度警惕。
印度数百万车主面临浏览器基e-Challan网络钓鱼骗局
据Cyble研究与情报实验室(CRIL)最新披露,一项针对印度车主的大规模网络钓鱼活动正在活跃,攻击者利用伪造的电子交通罚单(e-Challan)门户网站窃取受害者的银行凭证。与以往依赖恶意软件的攻击不同,此次活动主要通过浏览器进行,攻击者注册了超过36个欺诈性域名,这些域名在视觉上高度模仿印度区域交通办公室(RTO)的官方服务页面。攻击过程通常始于受害者收到含有钓鱼链接的短信,诱导其支付虚构的交通罚款。一旦受害者在伪造网站上输入车牌号并尝试支付,系统会弹出一个伪造的支付网关,要求输入信用卡或借记卡详细信息,包括CVV和有效期。这些敏感信息随即被攻击者截获。Cyble指出,此类攻击利用了公众对政府服务的信任,且由于不涉及文件下载,更容易绕过传统终端安全防护。专家建议用户仅通过官方应用程序(如mParivahan)或以“gov.in”结尾的官方网站查询罚单,避免点击不明短信链接,并启用银行交易的实时通知以尽早发现异常。
vLex旗下Vincent AI曝出高危漏洞,逾20万家律所面临风险
据SC Media报道,法律科技巨头vLex旗下的AI助手Vincent AI被发现存在严重安全漏洞,可能导致全球超过20万家律师事务所的敏感客户数据面临泄露风险。该漏洞由PromptArmor的研究人员披露,涉及HTML注入与提示注入(Prompt Injection)缺陷。攻击者可以通过上传含有隐藏恶意HTML代码或Markdown链接的文档来利用此漏洞。当Vincent AI处理这些文档时,恶意代码会被解析并执行,可能导致远程代码执行(RCE)、会话劫持或在用户界面上生成伪造的登录弹窗以窃取凭据。由于该平台被广泛用于处理高度机密的法律文件,此漏洞的潜在影响极为深远。vLex在收到通报后已着手修复。针对此类AI供应链风险,安全专家建议法律机构在使用AI工具处理敏感文档前,应建立严格的文件清洗流程,并呼吁SaaS供应商加强对用户输入内容的清洗与隔离,防止恶意代码通过大语言模型(LLM)接口执行。
新加坡警方通报:假冒买家网络钓鱼诈骗两月致损逾62万新元
新加坡警方于12月29日发布紧急预警,指出自2025年11月1日以来,当地已发生至少223起涉及假冒买家的网络钓鱼诈骗案件,累计损失金额超过62.2万新元。诈骗分子主要活跃于Carousell(旋转拍卖)和Facebook Marketplace等在线二手交易平台,伪装成对卖家商品感兴趣的买家。在接触过程中,诈骗者会声称希望通过平台内置支付或快递服务进行交易,并发送带有二维码或链接的虚假确认信息,要求卖家点击以“接收付款”或“安排发货”。这些链接实际上指向伪造的银行或平台登录页面,一旦卖家输入银行凭证或一次性密码(OTP),其账户资金即被盗转。警方呼吁公众保持警惕,切勿在非官方应用内点击此类链接,并强调合法的买家通常不需要卖家通过外部链接输入银行信息来接收款项。
卡巴斯基报告显示QR码网络钓鱼攻击激增五倍
据Arqam News援引卡巴斯基(Kaspersky)的最新数据报道,近期利用QR码进行的网络钓鱼攻击(即“Quishing”)数量呈现爆炸式增长,检测量激增了五倍。这种攻击手法通过将恶意链接编码为二维码,能够有效绕过大多数基于文本分析的传统邮件安全网关。攻击者通常将恶意二维码嵌入在伪造的停车罚单、多因素认证(MFA)重置邮件或快递包裹单中,诱导用户使用移动设备扫描。由于移动设备通常缺乏与其桌面端同等强度的安全防护,且屏幕较小难以检查完整URL,用户极易中招。扫描后,受害者会被重定向至钓鱼网站以窃取凭据或下载恶意软件。安全专家建议企业加强对员工的安全意识培训,警惕来源不明的二维码,并建议使用具备二维码扫描安全检测功能的移动安全解决方案,避免直接使用原生相机扫描不明码源。
PayPal新型邮件诈骗滥用账户“资料设置”流程诱骗用户授权
该骗局以“完善/确认您的PayPal账户资料”或“验证商业档案”为主题,利用用户对官方流程的熟悉度,在邮件中嵌入与真实域极其相似或经URL跳转/追踪参数伪装的链接,引导受害者进入高度仿真的登录与KYC补充页面,收集凭证、2FA一次性代码及身份文件。攻击者随后即时登录受害账户发起小额测试交易、添加受控收款方式或发起买家纠纷套现。背景上,品牌信任与账户合规催促是近年金融类钓鱼高点击主因。专家指出其利用(1)邮件安全网关对PayPal品牌通知大量“放行”形成的信任惯性;(2)多因素绕过:实时中间人代理捕获会话令牌;(3)用户对“资料未完整将限制收款”类压迫语气的反应。影响包括资金被转出、账户被用于洗钱和提升其它平台欺诈成功率。
建议:启用FIDO2硬件密钥减少会话被中继风险;在浏览器地址栏核对顶级域并独立手动输入paypal.com;对“需立即补全资料”邮件执行延迟验证策略;企业财务邮箱启用DMARC、MTA-STS与品牌标识(BIMI)降低仿冒成功率。
卡巴斯基披露Telegram小程序钓鱼新手法,数字资产面临失窃风险
卡巴斯基实验室(Kaspersky)发布最新安全研究,揭露了一种利用Telegram小程序(Mini Apps)进行网络钓鱼的新型攻击活动。随着Telegram生态中“边玩边赚”(Play-to-Earn)类游戏和小程序的普及,攻击者开始通过伪造合法的Telegram机器人与小程序界面,诱骗用户连接其加密货币钱包(如TON Space)。一旦用户授权,攻击者即可获取钱包的控制权并窃取其中的数字资产。研究人员发现,这些钓鱼页面制作精良,往往通过虚假的空投奖励或游戏福利作为诱饵,利用用户对平台内嵌功能的信任实施诈骗。该活动不仅威胁个人用户的资产安全,也对Telegram生态的信任基础造成冲击。卡巴斯基建议用户在使用各类小程序时保持高度警惕,切勿随意点击不明来源的空投链接,并在连接钱包前仔细核对应用开发者的身份信息,同时启用双重验证以增加账户安全性。
黑色星期五购物季前夕网络钓鱼攻击激增62%,零售与物流成重灾区
Darktrace发布的安全报告显示,在黑色星期五(Black Friday)购物季前夕,全球范围内的网络钓鱼攻击数量激增了62%。攻击者利用消费者期待折扣与包裹配送的心理,大规模发送伪造的促销邮件与物流通知。报告指出,最常见的攻击手法是冒充亚马逊、联邦快递(FedEx)等知名零售商与物流公司,诱导用户点击恶意链接以查看“订单状态”或领取“独家优惠”。这些链接通常指向极其逼真的钓鱼网站,旨在窃取用户的信用卡信息与账户凭据。此外,利用人工智能生成的个性化钓鱼邮件也使得识别难度大幅增加。Darktrace警告称,这种季节性的攻击激增已成为常态,且攻击手段愈发隐蔽。专家建议消费者在购物季期间务必通过官方APP或直接输入网址访问商家,避免点击邮件或短信中的不明链接,并仔细核对发件人地址的真实性。
微软365用户遭设备代码钓鱼攻击,OAuth授权流成防御盲点
Help Net Security报道,Proofpoint研究人员发现针对Microsoft 365用户的新一轮“设备代码钓鱼”(Device Code Phishing)攻击正在流行。攻击者滥用微软的OAuth 2.0设备授权流程,向用户发送包含设备代码的诱导信息,谎称需要进行安全验证或系统更新。一旦用户在真实微软登录页面输入该代码并授权,攻击者即可在无需知晓用户密码的情况下,生成访问令牌(Token)并接管受害者的企业账户。这种攻击方式极其危险,因为它利用了合法的微软认证界面,极易绕过传统的反钓鱼意识培训,甚至能规避部分基于短信的多因素认证(MFA)。受影响范围涵盖金融、制造及服务业等多个领域。安全专家建议企业管理员在Azure Active Directory中禁用不必要的设备代码授权流程,实施基于条件的访问策略,并加强对异常OAuth应用授权行为的监控与审计。
HubSpot平台遭滥用,新型钓鱼活动绕过可信邮件防御
eSecurity Planet报道,安全研究人员发现一波利用HubSpot营销平台发起的复杂网络钓鱼活动。攻击者利用HubSpot合法的邮件发送基础设施和域名信誉,成功绕过了大多数企业的邮件安全网关(SEG)和垃圾邮件过滤器。在这些攻击中,黑客创建免费或试用的HubSpot账户,设计看似正规的业务文档或发票通知,并将恶意链接隐藏在HubSpot托管的着陆页中。由于邮件来自HubSpot的可信IP地址且通过了SPF/DKIM验证,受害者极易放松警惕。这种“寄生”于合法服务的攻击方式正在变得日益普遍。安全专家建议企业调整邮件过滤规则,不仅仅依赖发件人信誉,还需对邮件内容的上下文及链接目标进行深度分析,同时加强员工对“合法来源恶意邮件”的识别能力培训。
发现借助iCloud日历通知的“回拨型”钓鱼方案
研究者揭露一种利用Apple生态信任链的回拨式钓鱼:攻击者向目标Apple ID发送伪装为账单异常、订阅续费或安全锁定的日历邀请,受害者设备弹出系统级提醒,降低警觉并绕过多数邮件网关拦截。邀请正文突出“需在XX分钟内致电/点击以避免收费”,引导拨打伪装客服号码或访问支持门户,随后通过社会工程索取信用卡、双因素验证码,甚至诱导安装远程协助工具。攻击流程利用:自动加入日历、富文本预览与可信通知界面。影响是扩大传统邮件外渠道的钓鱼接触面,并为后续技术支持骗局、账户接管和加密货币盗窃打开入口。
专家建议:在Apple端关闭“自动接受邀请”并过滤陌生发件;企业移动设备管理(MDM)限制未经批准的远程协助软件安装;建立“官方客服绝不主动要求验证码”统一口径;安全运营团队纳管电话渠道情报(来电模式、回拨脚本)与生成式AI语音潜在应用;推广用户通过官网或App内置联系入口验证。对检测侧,可关联日历事件触发的异常出站通话和后续金融交易行为。
谷歌账户钓鱼攻击呈上升趋势,现有安全系统遭高效绕过
Jumpfly博客发布安全预警,指出针对谷歌账户(Google Accounts)的网络钓鱼攻击近期呈现显著上升趋势。攻击者正在使用更为复杂的自动化工具和脚本,能够高效地绕过传统的垃圾邮件过滤器和部分基础安全系统。这些攻击通常以虚假的安全警报、恢复辅助邮箱请求或共享文档通知的形式出现,页面设计与谷歌官方界面几乎一模一样。一旦用户输入凭据,攻击者会立即利用自动化脚本尝试登录并修改恢复信息,导致用户在几秒钟内彻底失去账户控制权。鉴于谷歌账户通常关联着邮件、云盘、照片等大量个人数据,后果极为严重。专家建议用户立即检查账户安全设置,启用谷歌的高级保护计划(Advanced Protection Program)或使用Passkeys(通行密钥)替代传统密码,以提升账户防御等级。
圣地亚哥大学发布校园钓鱼警报,高等教育机构成攻击热点
圣地亚哥大学(USD)新闻中心发布安全公告,警告师生近期针对校园邮箱的网络钓鱼攻击频发。攻击者伪装成大学IT支持部门或行政管理人员,发送标题为“工资单更新”“图书馆账户过期”或“紧急兼职工作机会”的邮件。这些邮件旨在诱骗学生和教职工泄露其校园网统一身份认证凭据。一旦账户失窃,攻击者不仅会利用其发送更多垃圾邮件,还可能访问学校内部的敏感科研数据或学生个人信息。高等教育机构因拥有大量高带宽网络资源及敏感知识产权,正日益成为网络犯罪分子的首选目标。校方建议师生在点击任何校内通知链接前,务必核对发件人域名的真实性,不要轻信许诺高薪且要求预付费用的工作机会,并及时向IT安全部门报告可疑邮件。
埃森哲报告:四分之一的35岁以下员工会点击可疑钓鱼链接
Technology Magazine报道,埃森哲(Accenture)发布的最新网络安全弹性报告揭示了一个令人担忧的趋势:在35岁以下的年轻员工群体(主要为千禧一代和Z世代)中,有高达25%的人承认他们会点击看似可疑的链接或附件。这一比例显著高于年长员工群体,打破了“数字原住民更懂网络安全”的刻板印象。报告分析认为,年轻员工更频繁地使用各类数字工具和社交媒体,且在多任务处理环境下更容易产生“点击疲劳”或注意力分散,从而导致判断力下降。此外,过度自信也是导致风险行为的一个因素。埃森哲建议企业在进行安全意识培训时,应针对不同年龄段的认知习惯定制内容,引入游戏化教学和实时模拟钓鱼测试,切实降低人为因素带来的安全风险。
Fortra追踪Scripted Sparrow钓鱼团伙,揭露全球性诈骗网络
Information Security Buzz报道,网络安全公司Fortra的研究团队成功追踪到一个名为“Scripted Sparrow”的全球性网络钓鱼团伙。该团伙运作着一个高度自动化的诈骗网络,专门针对企业财务部门和高管进行商业电子邮件诈骗(BEC)。Scripted Sparrow利用脚本自动生成个性化的钓鱼邮件,能够根据目标的社交媒体信息定制诱饵,极大地提高了欺骗成功率。调查发现,该团伙的基础设施遍布多个国家,利用被入侵的合法服务器作为跳板,使得追踪和封锁变得异常困难。Fortra的报告详细描述了该团伙的战术、技术和程序(TTPs),为防御者提供了宝贵的威胁情报。专家建议企业加强对财务转账流程的审核,部署能够识别异常通信模式的AI邮件安全解决方案,以对抗此类智能化的钓鱼攻击。
Operation ForumTroll重现江湖,俄罗斯学术界遭定向钓鱼攻击
SC World报道,沉寂一时的网络间谍行动“Operation ForumTroll”近期死灰复燃,并将其矛头指向了俄罗斯的学术界。据安全研究人员观察,新一轮的攻击活动专门针对俄罗斯顶尖大学及研究机构的政治学、国际关系及经济学领域的学者。攻击者伪装成学术会议组织方或知名期刊编辑,发送带有恶意宏文档的邀请函或论文审核请求。这些文档利用了旧版本的Office漏洞,一旦打开便会植入后门程序,旨在窃取敏感的研究数据、学术通信及地缘政治分析报告。此次攻击的高针对性表明,攻击者对俄罗斯内部的政策研究动向具有浓厚兴趣。安全专家建议学术机构尽快修补办公软件漏洞,限制宏的自动运行,并对科研人员进行针对性的反间谍网络安全培训。
微信钓鱼攻击蔓延至海外,二维码诈骗成跨境企业新威胁
KnowBe4博客发布警告称,针对微信(WeChat)用户的网络钓鱼攻击正从中国本土向全球蔓延,成为跨国企业面临的新兴威胁。随着微信在海外华人社区及跨境商业沟通中的广泛使用,攻击者开发了专门针对该平台的诈骗套件。最常见的手法包括发送伪造的“账户冻结”或“安全验证”通知,诱导用户扫描恶意二维码。一旦扫描,攻击者即可劫持用户的会话令牌或诱导其转账。此外,针对企业财务人员的“老板诈骗”也开始转向微信平台。KnowBe4指出,许多西方企业的安全防御体系主要聚焦于邮件安全,往往忽视了即时通讯工具(IM)带来的风险。安全专家建议在华开展业务的企业将微信安全纳入员工培训范畴,制定明确的即时通讯工具使用规范,并禁止通过未加密的IM渠道传输敏感商业数据。
黑客利用语音钓鱼攻击,成功窃取企业敏感信息
据报道,近期黑客通过语音钓鱼(vishing)手法,冒充公司高管致电员工,诱导其泄露账户信息和访问权限,导致企业敏感数据被盗。受害公司表示,攻击者利用社会工程学技巧,精准锁定目标,造成严重经济损失。安全专家建议企业加强员工安全培训,建立多重身份验证机制,对异常来电进行核查,并定期演练应急响应流程。此次事件警示企业需重视语音钓鱼防范,提升整体安全防护水平。
针对Windows Update客户端的鱼叉式钓鱼攻击冒充招聘人员
近期网络安全专家发现,黑客利用鱼叉式钓鱼邮件,冒充招聘人员并伪装Windows Update客户端,诱导受害者下载恶意软件。攻击流程精心设计,通过仿真官方邮件和界面骗取信任,最终实现系统入侵和数据窃取。专家建议用户提高警惕,核实邮件来源,避免随意下载附件或点击链接。企业需加强邮件安全策略,部署自动检测工具,及时阻断钓鱼攻击链条。此次事件提醒公众,鱼叉式钓鱼手法日益复杂,需持续提升防护意识。
网络钓鱼“点击修复”链接一年暴增近400%报告示警新型诱导手法
一份最新电子邮件安全报告显示,攻击者利用伪装为“点击修复/ClickFix/立即修复账户问题”类紧迫行动按钮的钓鱼链接同比激增近400%,反映用户对“快速自助恢复”心理的被动式信任被系统性滥用。攻击流程通常以仿官方通知(密码过期、邮件延迟投递、存储配额满、政策更新需确认)为诱饵,将受害者导向高度还原品牌设计的登录门户或单击即执行的“授权”界面,结合域名同形(Unicode/短链重定向)、实时代理窃取会话令牌、HTML内嵌(data:URI/base64)及多跳302隐匿。影响方面,凭据失窃后被快速打包售卖或用于横向移动与Business Email Compromise (BEC),并出现自动化脚本即时验证与打标以提高下游转化。
报告建议组织:(1)推行基于硬件/平台绑定的无密码多因素(FIDO2 / Passkeys)减少凭据价值;(2)启用邮件网关对品牌冒充、链接重写及行为沙箱联动检测;(3)利用用户交互遥测(异常点击速率、时间段)做持续训练反馈,而非年度一次性演练;(4)在“修复/恢复”类通知中建立可验证的固定导航路径,引导用户自助到达而非点击内嵌链接。
FIDO降级攻击警示:攻击者绕过抗钓鱼认证的策略演进
报道剖析新出现的“FIDO降级(Downgrade)”钓鱼手法:攻击者不直接攻破强无密码认证,而是诱导用户或系统退回到较弱的OTP、短信或密码流程。手段包括伪造“安全密钥兼容性问题”“浏览器不支持”“账户迁移需重新启用旧登录方式”提示,通过代理中间人(AiTM)捕获会话令牌后完成身份接管。若组织并行保留遗留认证选项,风险被放大。影响在于削弱对凭据钓鱼的多年投资,使会话令牌窃取与后续横向移动大幅简化。
建议:(1)执行技术策略禁用降级(移除密码回退、关闭短信)并监控尝试触发路径;(2)检测异常设备指纹与认证上下文突变;(3)使用基于硬件绑定的条件访问策略(令牌绑定、设备合规);(4)用户培训强调“强认证无需紧急恢复链接”;(5)审计身份提供商配置,启用FIDO强制策略与密钥轮换登记审批。事件响应需纳入“强转弱”行为基线偏离检测。
利用日文字符混淆的国际化域名钓鱼攻击再度出现
报道指出,威胁者在电子邮件与URL中嵌入日文平假名/片假名或与拉丁字符极相似的Unicode,以实施同形攻击(IDN Homograph),用户浏览器会显示看似合法的品牌域名。邮件诱饵多为账户安全提醒、发票或协作平台邀请,登录页部署代理脚本转发真实会话以窃取令牌和MFA一次码。难点在于传统基于拼写/域名黑名单的规则未包含多脚本组合匹配。潜在影响扩大到财务支付欺诈和开发者门户访问。
专家建议:(1)客户端与安全网关启用国际化域名标准化与ASCII punycode显示策略;(2)域名防御性注册常见变体;(3)建立URL渲染差异检测(前端脚本对比真实字符);(4)用户培训加入“字符混淆示例”视觉教材;(5)行为层面监控跨脚本域名首次访问与伴随登录事件的异常。供应商应推动浏览器警示对高风险多脚本混排域。
全球钓鱼邮件攻防态势:攻击工业化与多因素绕过成常态
CyberPress综述当前钓鱼攻击趋势:即服务化(Phishing-as-a-Service, PhaaS)平台提供一键托管模板、实时会话劫持、中间人代理(AiTM)支持,降低技术门槛;多因素绕过从短信劫持扩展到Websocket中继、Session Token 提取;生成式AI用于本地化语言润色与即时伪造管理层沟通风格,提高高管欺诈成功率。行业受击面方面,金融与SaaS供应商仍居前,但医疗与教育因云迁移与预算缺口上升显著。检测难点:短命域名+链接重定向链、正向代理伪装真实用户代理、加密流量内隐藏凭证外传。
防御建议:(1)全面推进硬件或无密码公钥身份减少凭证被中继价值;(2)部署浏览器隔离或安全浏览器策略注入防窃取脚本;(3)引入行为会话风险评估(设备绑定、鼠标动力学、Token绑定客户端属性);(4)持续钓鱼仿真与数据驱动培训。报告强调衡量成功不应仅看点击率下降,而要观测“凭证被成功重放率”与“会话被劫持阻断时间”作为新核心KPI。
供稿:北京中科易安科技有限公司(公共互联网反网络钓鱼成员单位)
编辑:芦笛(公共互联网反网络钓鱼工作组)
