Facebook密碼破解卡巴斯基研究人員的最新威脅分析顯示,針對亞馬遜、Facebook,尤其是Google用戶的密碼竊取攻擊數量急遽上升。以下是您需要了解的資訊。
亞馬遜、Facebook 和 Gmail 是密碼駭客的聚集地
Gmail、Facebook 和 Amazon 等帳戶憑證受到惡意駭客的追捧,這不足為奇。畢竟,這些帳戶可以用來完成網路犯罪的三大步驟:資料竊取、惡意軟體傳播和信用卡詐騙。尤其是 Google 帳戶,它就像一把萬能鑰匙,可以打開大量其他帳戶憑證和個人資訊,用於實施詐騙。Facebook密碼破解想想你的 Gmail 收件匣裡包含的訊息,考慮到這項基於網路的免費電子郵件服務如此受歡迎,你很可能就擁有一個這樣的郵箱。更何況,還有許多組織仍在向你的電子郵件帳號發送密碼變更請求和雙重身分驗證連結。
卡巴斯基對全球25個最大、Facebook密碼破解最受歡迎的品牌進行了分析,以確定哪些品牌在網路釣魚攻擊中更容易成為網路犯罪分子的攻擊目標。卡巴斯基表示,研究人員發現,光是2024年上半年,就有約2,600萬次嘗試造訪偽裝成這些品牌的惡意網站。這比2023年同期成長了約40%。
針對Google的網路釣魚攻擊增加了243%
由於上述所有原因,Google位居網路釣魚攻擊目標之首。在試圖竊取密碼等憑證方面,Google仍然是網路犯罪分子攻擊雷達上的熱門目標。卡巴斯基表示,2024年前六個月的攻擊嘗試次數增加了243%,在此期間,卡巴斯基安全解決方案攔截了約400萬次此類攻擊嘗試。
卡巴斯基安全專家奧爾加·斯維斯圖諾娃 (Olga Svistunova) 表示:「今年針對Google的網路釣魚攻擊顯著增加。」她證實,獲得 Gmail 帳戶存取權限的犯罪分子「有可能存取多項服務,因此Google成為首要目標」。
根據卡巴斯基尚未公開發布的研究報告,Facebook用戶遭遇了370萬次網路釣魚攻擊,而亞馬遜則遭遇了300萬次。微軟、DHL、PayPal、萬事達卡、蘋果、Netflix和Instagram位列十大最受攻擊品牌名單。卡巴斯基表示,儘管沒有進入前十,但其他遭受攻擊數量也大幅增加的品牌包括匯豐銀行、eBay、Airbnb、美國運通和領英。
我們可以為你破解各類社交密碼,如line密碼,line監控,line監聽,instagram密碼破解,facebook密碼破解,Twitter密碼破解,手機定位,手機監控,電郵密碼破解,婚外情調查,小三調查,出軌調查,手機line簡訊查詢,手機密碼解鎖,如有需要,請直接聯絡line:hack2900 電郵:hack2900@hotmail.com 實力發展,技術生存
攻擊者在新活動中使用直接電話和短信
GuidePoint 研究與情報團隊的研究人員 Rui Ataide 和 Hermes Bojaxhi 表示,發現了一個令人擔憂的新型網路釣魚攻擊活動,針對 130 多個美國機構。「高度複雜的威脅行為者」這個術語已被濫用,幾乎已失去意義,但鑑於這名尚未透露姓名的攻擊者所使用的策略和入侵能力,GRIT 研究人員最終將這一稱號賦予了該活動。
與所謂的魚叉式網路釣魚活動一樣,此類攻擊的起點是針對組織內的個人,而不是像散彈槍一樣將目標對準整個企業通訊錄。研究人員表示,自今年6月以來,威脅行為者已註冊了至少八個域名,這些域名模仿目標組織本身使用的合法虛擬私人網路 (VPN) 技術。這進一步證明,攻擊者動機強烈,正在為針對特定企業的特定用戶進行攻擊做準備。研究人員表示:“此次攻擊首先針對組織內的個人用戶,透過社會工程方法獲取憑證和一次性密碼。”
雖然這些技術本身並非新鮮事物,但使用大多數傳統安全工具未關注的社會工程技術(例如向用戶智慧型手機發送電話和簡訊)確實會進一步混淆網路釣魚活動。正如研究人員指出的那樣,除非這些用戶主動報告收到這些電話或短信,否則安全團隊不會察覺。如果只是一次性事件,且接收者能夠識別,則無需過分擔心,但正如報告所指出的,如果攻擊目標涉及多個人,直至成功,則問題就變得尤為嚴重。在網路安全防禦方面,模式至關重要。這些電話會偽裝成來自目標企業內部的IT人員,並涉及VPN登入故障。然後,威脅行為者會透過簡訊向成功上當的使用者發送一個指向惡意網站的鏈接,Facebook密碼破解該連結會使用相關的自訂VPN網域和介面,供使用者輸入憑證。
GRIT 研究人員建議,為了緩解此類攻擊活動的影響,安全團隊應檢查日誌,尋找「自本通知發布之日起過去 30 天內來自 VPN 分配 IP 位址的特定可疑活動」。如果發現任何入侵跡象,則可能意味著存在潛在的勒索軟體攻擊的直接威脅。 「您應該立即宣布事件發生並進行徹底調查,」他們說。教育也很重要,因此讓使用者了解社會工程/網路釣魚是必需的,但這種意識需要不斷更新。研究人員總結道:“告知用戶此類社會工程學方法,提高警惕,並立即舉報自稱是 IT 或服務台人員的未知號碼打來的電話。”
微軟再次成為二維碼釣魚攻擊的目標
在卡巴斯基針對品牌的攻擊名單中,微軟或許僅排在第四位,但近幾個月來,一項網路釣魚技術卻讓這家位於華盛頓州雷德蒙德的巨頭迅速崛起。根據Netskope 威脅研究工程師 Jan Michael Alcantara 的最新報告,光是 2024 年 7 月,「透過 Microsoft Sway 發送的網路釣魚頁面流量就增加了 2000 倍」。
Microsoft Sway 是一款雲端應用程序,Facebook密碼破解可供 Microsoft 365 用戶免費使用,用於建立視覺效果豐富的文件、新聞稿和簡報。 Alcantara 指出,當開啟 Sway 頁面時,潛在受害者實際上已經登入了他們的 Microsoft 365 帳戶,這為網路釣魚攻擊增添了合法性——至少 Netskope 的追蹤資料顯示,這些釣魚攻擊透過使用二維碼來取得 Microsoft Office 憑證。雖然建議目標用戶使用智慧型手機掃描二維碼以方便使用,但其主要目的是為了繞過公司筆記型電腦上更嚴格的安全措施。這次攻擊活動使用了一些有趣的技術來避免引起懷疑,例如使用 CAPTCHA 測試來防禦靜態 URL 掃描程序,以及使用中間人攻擊技術(用真實的登錄 URL 替換釣魚 URL 來收集憑據,從而使威脅行為者能夠以受害者身份登錄)。
Unicode二維碼釣魚以新穎的方式逃避偵測
SlashNext 的技術長 J Stephen Kowski 在 LinkedIn 的一篇文章中詳細介紹了一種新的二維碼釣魚變種。我們更熟悉的二維碼釣魚攻擊依靠嵌入的圖像二維碼將用戶重定向到惡意網站,而Unicode 二維碼釣魚則採用了完全不同的方法。 Kowski 表示:「攻擊者現在開始使用 Unicode 文字字元而不是圖像來製作二維碼。」這給防禦者帶來了三個主要問題:逃避圖像分析、完美的螢幕渲染以及介於螢幕渲染和純文字之間的外觀二重性,這進一步增加了檢測難度。 Kowski 表示:“Facebook密碼破解這一發展強調了我們長期以來強調的一個關鍵點,即釣魚不再局限於電子郵件。”
