针对菲律宾银行用户的网络钓鱼活动“Phisles”技术演变与升级
自2024年初以来,一场名为“Phisles”的高度适应性网络钓鱼活动持续针对菲律宾的主要银行用户,其攻击手段和策略在两年间不断演变升级。Group-IB公司的安全研究人员发现,该活动最初通过发送伪造的交易警报邮件诱骗受害者,近期则转变为冒充银行发送可疑设备登录或联系信息更新的通知,以制造紧迫感。攻击者利用从地下渠道购买的已泄露邮箱账户(Combolists)发送钓鱼邮件,增加了邮件的迷惑性和送达率。为了规避安全网关的检测,攻击者大量滥用Google Business、AMP CDN、Cloudflare Workers等高信誉度的合法服务来托管或重定向其恶意链接。更值得警惕的是,攻击者成功入侵并劫持了一家菲律宾教育机构的合法域名,用于托管其钓鱼设施,极大地增强了其攻击活动的隐蔽性和可信度。整个攻击流程旨在实时窃取用户的网上银行凭证和一次性密码(OTP),并通过Telegram机器人自动化地将这些信息回传,最终实现未经授权的资金转账,给受害者造成直接的经济损失。据不完全统计,已有超过400名用户受到影响。
新型网络钓鱼即服务平台“EvilTokens”滥用设备代码流程攻击Microsoft 365用户
近期,一种名为“EvilTokens”的新型网络钓鱼即服务(PhaaS)平台被发现正被积极用于针对全球范围内的Microsoft 365用户,该平台的核心攻击手法是滥用微软合法的“设备代码授权”流程(device code authentication flow)。这一流程原本设计用于智能电视、打印机等输入受限的设备,但攻击者通过社会工程手段,诱骗受害者在微软官方登录页面输入一个由攻击者生成的代码。一旦用户输入代码并完成后续的认证步骤(包括MFA),攻击者便能成功窃取到一个有效期长达90天的访问令牌,从而绕过MFA保护,获得对账户的持久访问权限。安全公司Huntress的报告指出,超过340个组织已受此影响。该攻击活动的一个显著特点是,其恶意流量大量来自合法的云平台服务商Railway.com,攻击者利用该平台易于部署、自带安全证书和干净IP的特性,作为其令牌收割引擎,使得微软的风险评分系统难以识别。攻击者使用的钓鱼诱饵也呈现多样化,包括伪造的施工投标、DocuSign文档、语音邮件通知等,增加了防御难度。
网络犯罪分子利用无代码平台Bubble创建隐蔽Web应用,发动针对微软账户的凭证钓鱼攻击
卡巴斯基的安全研究人员近期发现一种新型网络钓鱼技术,攻击者利用流行的无代码应用开发平台Bubble.io来生成和托管恶意Web应用,其主要目标是窃取Microsoft 365等微软服务的用户凭证。这种攻击手法的隐蔽性在于,攻击者通过Bubble平台创建的恶意应用拥有复杂的JavaScript捆绑包和大量使用Shadow DOM的结构,这使得传统的静态和自动化安全分析工具难以检测。这些应用被设计为重定向器,将受害者导向一个模仿微软官方登录页面的钓鱼网站。一旦用户在假冒页面输入其用户名和密码,这些凭证就会被立即发送给攻击者,用于后续的账户入侵活动。由于这些恶意应用托管在Bubble的合法域名(*.bubble.io)上,它们天然地获得了高信誉度,更容易绕过邮件安全网关和浏览器的安全过滤。研究人员警告,这种滥用合法“无代码”或“低代码”平台进行恶意活动的技术,可能会被更广泛地集成到网络钓鱼即服务(PhaaS)平台中,使攻击者能够以更低的成本和技术门槛发起更难被察觉的攻击,并可能与绕过多因素认证(MFA)的AiTM攻击相结合。
法国税务申报季临近,当局警告防范新型网络钓鱼诈骗
随着2026年度法国个人所得税申报季于4月9日开启,法国当局向公众发出警告,警惕激增的各类网络钓鱼诈骗。每年报税季,不法分子都会通过发送虚假电子邮件等方式,冒充税务或其他政府机构,试图窃取公民的银行信息或直接骗取钱财。2026年出现的一种新型骗局是,诈骗者发送邮件声称,作为“第三方债务扣押管理程序”(saisie administrative à tiers détenteur, SATD)的一部分,收件人的银行账户已被当局冻结并扣押资金。邮件中还威胁,除非收件人立即点击链接支付一笔“罚款”(例如从343欧元增至675欧元),否则金额将大幅上涨。尽管SATD是真实存在的法律程序,但该邮件及其链接的网站均为伪造。法国内政部已通过社交媒体将此定性为“网络钓鱼”并提醒公众删除此类邮件,切勿与之互动。法国公共财政总局(DGFiP)重申,官方绝不会通过电子邮件要求用户在未登录其官方认证空间的情况下,点击链接以获取退税或通报税务审查结果。当局建议,民众应始终直接登录官方税务网站(impots.gouv.fr)来核实任何待处理的支付或通知,切勿点击任何可疑邮件中的链接。
针对TikTok商业账户的Adversary-in-the-Middle (AiTM)网络钓鱼攻击出现新浪潮
安全公司Push Security近期发现了一波新型的Adversary-in-the-Middle (AiTM)网络钓鱼攻击,其主要目标是TikTok for Business账户。攻击者在极短时间内注册了大量使用相似命名规则(如welcome.careers*.com)的钓鱼页面,并将它们托管在Cloudflare之后,以增加追踪和封锁的难度。这些钓鱼页面的内容主要模仿TikTok或Google的风格。虽然初始的传播方式尚未完全确认,但研究人员推测可能与之前通过动态生成的电子邮件和克隆的Google招聘页面进行的攻击活动相似。当用户点击恶意链接后,会先被重定向到一个合法的Google云存储站点,然后加载一个包含Cloudflare Turnstile人机验证的页面,以阻挡安全机器人的分析。最终,用户会被导向一个AiTM钓鱼页面,在要求填写基本信息后,呈现一个窃取登录凭证的恶意登录界面。攻击者之所以将目标对准TikTok商业账户,是因为这些账户通常由企业的营销团队管理,控制着广告投放和预算,具有很高的商业价值。此外,由于许多用户会选择“使用Google登录”TikTok,一旦成功钓鱼,攻击者可能同时获得用户的TikTok和Google账户权限,进而可能利用Google Ad Manager账户进行更大范围的恶意广告诈骗活动。
荷兰计划推出“在线驾照”课程,帮助老年人抵御网络钓鱼
为应对日益增多的针对老年人的网络诈骗,荷兰正考虑一项创新举措:为65岁以上的老年人引入一项“在线技能证书”(俗称“在线驾照”)。该计划的背景是,尽管老年人越来越熟练地使用智能手机,但他们也更容易成为网络钓鱼和虚假银行客服等诈骗手法的受害者。根据该计划,超过65岁的公民在申请新的手机合同时,需要证明自己具备识别网络钓鱼企图和虚假帮助台查询等基本网络安全技能。对于已经拥有手机和网络连接的老年人,则需要在续签合同或升级手机时提供该证书。该证书课程将通过安全的在线链接提供,并通过Digid(荷兰的数字身份认证系统)进行访问,费用为10欧元。为了防止滥用,例如由孙辈代为完成课程,市政官员还将进行抽查。该计划旨在在保护老年人与避免过度干涉之间取得平衡。尽管在试点项目中曾遭遇挫折,但政府仍在推进此项法规的制定,以期提高老年群体的网络安全防范意识和能力。
知名在线邀请平台Punchbowl遭仿冒,新一轮网络钓鱼骗局在社区传播
近期,美国纽约州皮克斯基尔(Peekskill)社区出现一种新型网络钓鱼骗局,不法分子通过模仿广受欢迎的在线派对邀请网站“Punchbowl”,发送虚假的活动邀请邮件,旨在窃取收件人的登录凭证和个人信息。该骗局的运作方式是,受害者会收到一封看似来自家人、朋友或同事的Punchbowl派对邀请邮件,邮件中包含一个恶意链接。点击该链接后,受害者会被引导至一个伪造的登录页面,一旦输入自己的邮箱账户和密码,其账户便会被黑客劫持。随后,黑客会利用被盗账户向该账户的所有联系人发送新一轮的虚假邀请邮件,形成恶性循环。已有多名当地居民报告称自己成为受害者,其个人邮箱在点击虚假邀请后被用于发送大量垃圾邮件。Punchbowl官方和当地警察部门已发布警告,提醒公众注意识别此类诈骗。官方指出,所有合法的Punchbowl邮件都应来自特定的官方邮箱地址(如mail@mail.punchbowl.com),并且在主流邮件客户端中通常会显示Punchbowl的红色标志和蓝色认证标记。官方强烈建议用户不要点击任何可疑邮件中的链接,并直接将可疑邮件转发至官方进行举报。
大规模网络钓鱼活动利用虚假VS Code安全警报瞄准GitHub开发者
近期,一个大规模且高度自动化的网络钓鱼活动正通过GitHub平台扩散,其主要目标是开发者群体。攻击者利用GitHub的“Discussions”功能,在数千个代码仓库中发布看似紧急的Visual Studio Code (VS Code) 安全警报。这些警报信息使用耸人听闻的标题,并引用虚构的CVE漏洞编号,谎称特定版本的VS Code存在严重漏洞,敦促用户立即通过外部链接下载所谓的“更新版本”。这些消息通常来自新建的或不活跃的GitHub账户,并且会同时标记大量的开发者,通过制造紧迫感和利用GitHub作为可信平台的心理,诱使用户采取行动。由于Discussions的通知会通过邮件发送给关注者,进一步扩大了攻击的覆盖面和可信度。研究人员发现,攻击者提供的外部链接(通常托管在Google Drive等可信服务上)并不会直接下载恶意软件,而是将用户重定向到一个由攻击者控制的JavaScript页面。该页面会首先对访问者进行画像分析,收集其时区、浏览器、操作系统等信息,以过滤掉安全研究人员和机器人,然后才可能向真实受害者提供下一步的钓鱼页面或恶意载荷。
韩国金融监管机构将加强对网络钓鱼及“钱骡”账户的打击力度
韩国金融服务委员会(FSC)近期宣布,将与相关机构合作,加大对新型网络钓鱼犯罪及“钱骡”银行账户的打击力度。作为该计划的一部分,FSC在4月份成立了一个由金融监督服务局和多家金融公司组成的联合工作组。目标是到9月底前,推动所有金融机构建立能够有效侦测此类网络犯罪并共享相关信息的系统。此外,监管机构还将推动相关法律的修订,以便能够更迅速地响应此类犯罪活动,包括快速冻结涉嫌用于欺诈的账户和追回经济损失。此举是对近期涉及韩国公民在东南亚地区被卷入网络诈骗活动(包括被绑架和拘禁)等严重事件的回应,总统李在明已多次呼吁采取更强有力的措施来应对网络钓鱼诈骗。这项全面的打击计划旨在构建一个更严密的金融安全网络,保护公民免受日益复杂的在线金融犯罪的侵害。
Casbaneiro银行木马持续活跃,通过网络钓鱼攻击拉丁美洲银行用户
Casbaneiro(也被称为Metamorfo或Ponteiro)是一种主要针对拉丁美洲金融机构和加密货币服务的银行木马,自2018年以来,其攻击活动一直活跃。ESET和Sygnia等安全研究公司指出,该木马通过大规模的垃圾邮件活动和鱼叉式网络钓鱼攻击传播,目标是窃取金融凭证。攻击者通常利用社会工程学手法,如伪造的弹窗、虚假软件更新通知或伪造的银行交易警报,诱骗受害者输入敏感信息。Casbaneiro具有典型的拉丁美洲银行木马后门功能,包括截屏、模拟鼠标和键盘操作、记录按键、下载和执行更新、限制访问特定网站以及下载并执行其他可执行文件。值得注意的是,它还会监控剪贴板内容,一旦发现加密货币钱包地址,就会将其替换为攻击者的钱包地址,从而窃取加密货币。该木马利用多种加密算法来混淆字符串,并将其命令与控制(C2)服务器地址隐藏在各种地方,包括虚假DNS条目、Google Docs上存储的在线文档或模仿合法机构的虚假网站中,甚至滥用YouTube视频描述来隐藏C2信息。尽管该威胁持续多年,攻击者仍在不断更新其感染链和持久化技术,例如近期观察到使用UAC绕过技术和Rust编写的下载器,以逃避检测。
NFL和NBA球员成为复杂网络钓鱼诈骗受害者,嫌犯被控欺诈与性贩运
一名名叫Kwamaine Jerell Ford的佐治亚州男子被指控策划了一场复杂的网络钓鱼骗局,专门针对NFL和NBA球员,该骗局最终演变为大规模欺诈和性贩运。美国司法部于2026年3月16日公布的起诉书显示,Ford通过多重手段获取了受害球员的Apple账户登录凭证。他冒充知名的成人影星,声称要向运动员发送露骨视频,同时还伪装成Apple客服代表,通过短信诱骗受害者提供用户名、密码和多因素认证码。一旦成功控制受害者的Apple账户,Ford便能获取信用卡和借记卡信息,并利用这些信息进行数千美元的个人消费。据称,Ford在2019年就曾因类似的计算机欺诈和严重身份盗窃罪被定罪,当时他曾入侵100多个Apple账户,窃取近32.5万美元。此次,检方指控Ford的犯罪活动进一步升级,在2021年5月,他冒充成人影星,诱骗并胁迫一名女性受害者与多名职业运动员进行商业性行为,并从中获利,而性行为过程往往在运动员不知情或未同意的情况下被秘密录制。FBI官员表示,Ford显然没有从之前的定罪中吸取教训,反而升级了其犯罪活动,除了身份盗窃和金钱诈骗,还涉及胁迫和性贩运。Ford被控九项电信诈骗罪、七项计算机诈骗罪、一项访问设备诈骗罪、四项严重身份盗窃罪和一项性贩运罪。
荷兰ISP试点反网络钓鱼盾牌取得显著成效,成功阻止逾200万次恶意网站访问
荷兰的互联网服务提供商(ISP)与国家网络安全中心(NCSC)联合开展的一项反网络钓鱼盾牌试点项目取得了显著成功。该项目自2025年7月启动,旨在通过DNS过滤技术,在用户访问可疑的钓鱼或欺诈网站时自动进行拦截。在试点期间,约20万互联网用户共计被阻止了210万次对恶意网站的访问尝试,相当于平均每位参与者被阻止了10次。此次试点的成功促使荷兰司法部、警方、NCSC、荷兰银行协会以及电信行业组织NLconnect决定将该盾牌结构化,并由NCSC进行管理。KPN、Kabelnoord、SNLLR和TriNed等ISP参与了此项合作。该盾牌的工作原理是NCSC持续收集和更新包含约16万个恶意域名的“拒绝列表”,并每15分钟向参与的ISP提供。ISP在获得客户明确选择同意(opt-in)后,通过DNS过滤来阻止对这些网站的访问。由于去年约17%的荷兰互联网用户曾遭受网络犯罪,且90%的网络攻击始于钓鱼信息,这项措施被认为是保护公民免受日益增长的在线威胁的必要手段。后续将致力于扩大该盾牌的覆盖范围,并争取更多ISP的加入。
供稿:北京中科易安科技有限公司(公共互联网反网络钓鱼成员单位)
编辑:芦笛(公共互联网反网络钓鱼工作组)
