周报

  1. 网络安全供应商 Malwarebytes 本月 10 日披露有犯罪分子窃取了 1750 万个 Instagram 账号的敏感信息, 其中包含这些账号关联的手机号码, 电子邮件地址和住址, 这些数据已经开始在暗网市场中兜售; 同时也有大量用户表示收到莫名的 Instagram 密码重置邮件. 随后 11 号, Instagram 发布公告称修复了一个由密码重置引起的问题, 强调系统没有遭到入侵. 同一时间 haveibeenpwned.com 也确认了这期数据泄露事件, 在报告中 HIBP 确认这 1700 多万公开数据中有 620 万条包含关联的电子邮件地址, 部分还包括电话号码, 虽然泄露发生时间和 Instagram 的密码重置问题发生时间重合, 但数据抓取似乎是和密码重置问题无关. [1]
  2. 金融时报本月 8 日报道, 一个被美国政府指为具有中国政府背景的黑客组织 Salt Typhoon 入侵了美国众议院一些关键委员会工作人员的电子邮件系统. 入侵行为于去年十二月被发现, 早前美国官员也曾指控该黑客组织受中国政府指使入侵美国电信巨头 Verizon 和 AT&T. 美方的四个委员会均拒绝置评, 中方驻美大使馆发言人刘鹏宇否定指控, 表示这是美方的无根据猜测, 利用网络安全抹黑中国, 美方正在散布各种所谓中国黑客威胁的虚假信息. [2]
  3. 英国教育部上个月 16 日公布了信函起草透明度报告, 明确提到了教育部已经开始使用基于 ChatGPT 的工具来起草回复公民的来信回复, 根据目前的使用情况, 部门每月需要接受外部的咨询次数评价为 1000 次, 预计该 AI 工具最终将负责解决其中 80% 的咨询回复. 英国教育部本次公布使用的 AI 工具部署于 Azure 云, 使用 gpt-4o 模型. [3]
  4. 美国联邦调查局本月 8 日发布公告, 警告由朝鲜政府支持的国家级黑客组织 Kimsuky (APT43) 正在利用恶意二维码对美国境内实体发起鱼叉式钓鱼攻击, 这类攻击行为被命名为 "quishing". 攻击者利用邮件安全配置不当的的域名发送伪装为合法邮件的钓鱼邮件, 通过二维码传播恶意软件或窃取账户凭证. [4]
  5. 本月 6 日, Microsoft 宣布取消原本计划在今年 4 月全面实施的 Exchange Online 外部收件人速率限制(ERR)计划, 表示这是基于客户反馈的 "目前批量发送服务功能有限" 的情况下做出的让步. 所以目前 Exchange Online 将继续保持执行每天 5000 个外发联系人的限制, 值得注意的是租户依旧会受到去年已经实施的租户出站电子邮件限制(TERRL), 本站在周报 Vol.2 提及过, 本次取消的 ERR 是针对租户内单个电子邮件账户而设置的外发子上限. [5]
  6. Microsoft 威胁情报中心本月 6 日发布文章《网络钓鱼行为利用复杂的路由机制和配置错误来伪装域名》, 其中提到了钓鱼即服务平台(PhaaS) Tycoon2FA, Microsoft 表示去年十月 Defender 拦截了超过 1300 万封与之相关的恶意电子邮件. 攻击者和钓鱼服务平台利用域名的电子邮件域名安全配置缺陷发送钓鱼邮件, 由于发送方的配置这些邮件默认会被归类的垃圾邮件, 但是作为收件人的用户依旧有很大可能打开这些被归类为垃圾邮件但实际是钓鱼邮件的危险邮件. Microsoft 在文章中列出多条的钓鱼邮件样本, 并建议没有直接设置 Office 365 为入站 MX 而无法受到 Exchange 邮件安全网关保护的租户配置邮件流连接器来防止这些伪造邮件到达收件箱. [6]
  7. Google 本月 8 日宣布 "Gmail 即将进入 Gemini 时代", Gmail 将向所有用户提供免费的收件箱概览摘要功能, 这个功能将直接集成到 Gmail 原本的搜索栏中; 第二项, 所有 Gmail 用户都能免费使用 AI 功能对邮件进行润色或起草邮件, 这些能力在邮件回复对话中也会有效, 只有内容校对功能还需要付费订阅; 第三项, Gmail 将拥有一个独立于收件箱(Inbox)的 "AI 收件箱(AI Inbox)" 虚拟文件夹置于其上方, 点击 AI 收件箱将会直接获得基于收件箱分析的个性化报告并突出重要的待办事项, 不过 AI 收件箱目前正在逐步测试仍然需要几个月的事件才能对更多用户广泛可用. [7]
  8. 近期, 美妆品牌欧莱雅在美国华盛顿州法院被提起集体诉讼, 原告称欧莱雅通过旗下兰蔻品牌大量发送具有虚假或误导性的促销截止邮件, 许多的营销邮件还含大篇幅但片面的免费赠品宣传, 实际上这需要消费者达成最低消费(有时候超过 100 美元)才能获得, 但欧莱雅故意不把这些隐藏条件披露出来. 如果诉讼成立, 欧莱雅发送的每一封欺诈邮件都将构成一项违法指控, 原告要求每封邮件赔偿最高达 500 美元. [8]
  9. 网络安全供应商 Radware 本月 8 日发布有关 ChatGPT 的一系列提示词注入漏洞 ZombieAgent 威胁情报披露文章. 攻击者可以通过 ChatGPT 的连接器(Gmail, Outlook, Google Drive 或 GitHub 等)窃取个人数据, ChatGPT 还会从用户保存的对话记录和个性记忆中泄露敏感信息, 文章还展示了一种能够持久化数据窃取的手段和一种通过 ChatGPT 传播威胁的技术, 使得达成扩展到威胁其他目标用户的可能. [9]
  10. 网络安全供应商 SANS 本月 7 日发布威胁情报, 发现有攻击者正在利用 HTML 的表格元素填充黑白单元格背景来构造二维码, 虽然最终渲染结果可能不如图片二维码, 但这种手段可以有效地绕过很多电子邮件安全网关的恶意二维码检测, 并且得益于二维码的容错, 这种 HTML 表格二维码依然能被扫描识别. [10]

注释

  1. Instagram Confirms no System Breach and Fixed External Party Password Reset Issue ↩︎

  2. China Hacked Email Systems Used by US Congressional Staff ↩︎

  3. DfE reveals use ChatGPT-based tool to draft citizen email responses – PublicTechnology ↩︎

  4. FBI Warns North Korean Hackers Using Malicious QR Codes in Spear-Phishing ↩︎

  5. Microsoft cancels plans to rate limit Exchange Online bulk emails ↩︎

  6. Phishing actors exploit complex routing and misconfigurations to spoof domains | Microsoft Security Blog ↩︎

  7. Gmail launches AI features like AI Overviews and more, made possible by Gemini 3 ↩︎

  8. Class action alleges L’Oreal sent deceptive marketing emails using false ‘free gift’ claim ↩︎

  9. ZombieAgent: New ChatGPT Vulnerabilities Let Data Theft Continue (and Spread) ↩︎

  10. A phishing campaign with QR codes rendered using an HTML table ↩︎

许可协议

本文采用 署名-非商业性使用-相同方式共享 4.0 国际 许可协议,转载请注明出处。

分享文章

快来参与讨论吧~