Aggregator

近期，冒充 E-ZPass 及其他收费机构的网络钓鱼活动愈演愈烈，收件人会收到多条 iMessage 和短信，企图窃取个人及信用卡信息。

这些信息中嵌入了链接，一旦点击，就会将受害者带到冒充 E-ZPass、The Toll Roads、FasTrak 或其他收费机构的钓鱼网站，试图窃取他们的个人信息，包括姓名、电子邮件地址、实际地址和信用卡信息。

这种诈骗手段并非新出现的，联邦调查局早在 2024 年 4 月就已发出过相关警告。这些短信绕过了反垃圾邮件措施，且来自看似随机的电子邮件地址，再加上攻击的规模，表明这仍是一次自动化攻击。

此次发现的诈骗短信冒充 E-ZPass 或机动车管理局直接发送。这些短信使用的语言带有紧迫感，比如称通行费需在一天或两天内支付，否则将产生额外费用，或者驾照将被吊销。

该活动中的网络钓鱼短信样本

苹果 iMessage 自动关闭来自未知发件人的信息链接，以保护用户免受短信钓鱼诈骗。为了绕过这一点，骗子会让用户回复文本，这样链接就可以点击了。

点击提供的链接将受害者带到一个E-ZPass网络钓鱼网站，除了URL，它看起来像一个合法的网站。安全研究人员测试表明，该钓鱼网站仅在手机上加载，因此桌面用户不会看到它。

受害者登录的钓鱼页面

在这种骗局中发送的短信数量如此之大，以至于用户对特定骗局发生频率表示沮丧，据统计，这种信息有时一天多达7条短信。

虽然这些信息的来源尚未确定，但最近发现了一个名为Lucid的新兴网络钓鱼即服务平台，该平台与这些类型的骗局有关。

Lucid和Darcula等平台使用加密的iMessage和RCS消息绕过传统的反垃圾邮件过滤器，发送大量文本，而不会产生与标准短信发送相关的成本。

如果用户收到其中一条消息，应该阻止并报告该号码，以便将电子邮件地址或电话号码报告给Apple。然而，作为一般规则，用户应尽量避免回应这些骗局。

对于那些担心他们有合法的未付款项的人，应该直接登录收费当局的网站来检查任何余额。邦调查局此前曾建议收件人在IC3门户网站上提出投诉。

Application Security Engineer (DevSecOps & VAPT) Derisk360 | India | On-site – View job details As an Application Security Engineer (DevSecOps & VAPT), you will integrate security into CI/CD pipelines, conduct vulnerability assessments and penetration testing, and use tools like SonarCloud and Checkmarx for secure code analysis. You will also guide developers on secure coding practices, perform code reviews, and conduct regular application security audits. Cyber and Information Security Architect Prospera Credit Union | Canada | … More →

The post Cybersecurity jobs available right now: April 8, 2025 appeared first on Help Net Security.

在近期的网络安全威胁事件中，黑客利用虚假的 Semrush 广告，试图窃取 Google 账户凭证。

Semrush 是一款颇受众多企业欢迎的 SEO 和广告平台，40% 的财富 500 强公司都在使用。攻击者正是看中了 Semrush 在业界积累的信任度，精心策划了这场恶意攻击，目标直指极具价值的 Google 账户信息。

网络钓鱼流程

此次网络钓鱼活动从投放 “Google Ads” 广告拉开序幕，这些广告会将用户导向一个伪造的 Semrush 登录页面。

虚假的 Semrush 和 Google 帐户登录页面

起初，广告打着 “Google Ads” 的旗号，没过多久，便完全伪装成 Semrush 的样子。

攻击者注册了与 Semrush 极为相似的域名，借助这些域名，将用户诱骗至虚假登录页面。值得注意的是，这些页面只允许用户使用 Google 账户凭证登录，显然，他们的主要目标就是获取 Google 账户信息。一旦受害者输入账户凭证，信息便会被立即传送给攻击者，如此一来，Google Analytics（谷歌分析）和 Google Search Console（谷歌搜索控制台）中的敏感数据极有可能被泄露。

影响与风险

据相关报告指出，黑客入侵 Google 账户后，能够获取关键的业务数据，比如网站性能指标、用户行为模式，以及 Google Analytics 中的财务洞察信息。这些信息一旦落入不法分子手中，他们便能借此在竞争中抢占先机，甚至实施金融欺诈。

再者，Google Analytics 和 Search Console 的数据与 Semrush 这类工具存在集成关系，这意味着攻击者即便不直接登录 Google 账户，也能获取大量机密商业信息。这种数据的互联互通，还可能让攻击者冒充企业，哄骗供应商或合作伙伴向欺诈账户转账，进而造成更严重的财务损失。

应对措施与建议

为应对这一威胁，网络安全专家已将这些恶意广告报告给 Google，Malwarebytes 等公司也已着手部署针对此类网络钓鱼活动的防护措施。

钓鱼页面 

专家建议，用户在点击广告时务必谨慎，尤其是那些会跳转到陌生登录页面的广告。同时，采取诸如开启双因素身份验证、定期监控账户活动等强化安全措施，有助于防范此类攻击。鉴于品牌冒充仍是常见的攻击手段，个人和企业都应时刻保持警惕，积极主动地保护自身的数字身份安全。