周报

  1. Gemini 的提示词工程注入漏洞再次被爆出, 现在攻击人员发现如果用户在 Gmail 或者日历中遭遇了恶意提示词攻击会让 Gemini 中毒, 当用户和 Gemini 进行对话的时候触发特定的关键词的时候就会执行自动操作. 危害更加严重的是 Gemini 能够未授权启动 Zoom 会议, 甚至通过 Google 助手去控制智能家居. [1]
  2. Microsoft Exchange Online 的 Direct Send 继续被滥用, 研究人员发现攻击者通过这种完全绕过邮件安全网关的办法之后还复合实施了更加隐蔽的鱼叉式邮件攻击. 攻击者在附件中添加了 HTML 附件, 而这个 HTML 附件中含有一个错误的图片标签, 当页内的 JavaScript 组件捕获到这个 onerror 错误的时候就会进一步执行其中被编码的恶意载荷, 而这个恶意载荷又包含在 SVG 文件中. [2]
  3. 上海警方发布新闻, 最近联合建设银行成功追回一家企业遭受的 BEC 邮件诈骗损失, 总计金额约 55 万欧元. 企业的海外合作伙伴突然发邮件过来表示需要支付货款, 还附上了新的银行收款账户, 企业负责人在汇款完毕之后向对方确认的时候才得知对方并未更更换银行账户. 报案后民警向建设银行取得联系共同开始追踪资金去向, 最终成功追回所有货款. [3]
  4. Cloudflare Email Routing 现已支持子寻址(加号寻址)功能, 已启用这个功能的客户需要手动前往域设置的电子邮件功能面板中启用. [4]

注释

  1. Gemini Exploited via Prompt Injection in Google Calendar Invite to Steal Emails, and Control Smart Devices ↩︎

  2. Microsoft 365 Direct Send Weaponized to Bypass Email Security Defenses ↩︎

  3. 真邮箱,“假”邮件!警银联动为在沪企业挽回50余万欧元损失 ↩︎

  4. 面条: "好消息,Cloudflare Email 收件地址现在也支持…" - C.IM ↩︎

许可协议

本文采用 署名-非商业性使用-相同方式共享 4.0 国际 许可协议,转载请注明出处。

分享文章

快来参与讨论吧~