记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

后新冠时代:40%的企业正考虑放弃电子邮件

英国智库“国会街”一份最新报告显示,超过五分之二的企业正在考虑放弃电子邮件作为主要的沟通渠道。该报告对英国中型和大型公司的200名高级决策者进行了投票调查,以更好地了解新冠病毒COVID-19如何改变未来的工作。大约43%的受访者声称,他们正在“积极考虑取代电子邮件”,代之以基于云和应用程序的替代方案,作为员工在线交流的主要方式。Zoho的欧洲董事总经理Sridhar Iyengar认为,基于云平台的实时聊天功能可以为员工提供更有效的沟通方式,可在所有文档处理中进行协作。他继续说:随着远程工作比以往任何时候都更加广泛,这些新的沟通方法不可避免地会导致更快的决策,更简化的流程和即时的批准,在许多情况下这将取代电子邮件,成为员工沟通的首选工具。与端到端加密的在线替代方法相比,电子邮件还更容易受到网络威胁的影响。根据
发布时间:2020-06-24 18:07 | 阅读:7712 | 评论:0 | 标签:行业动态 首页动态 企业安全 电子邮件安全 钓鱼攻击

QQ邮箱从Self-XSS到钓鱼攻击分析(多漏洞利用攻击链)

前言:疫情在家闲着无聊准备挖洞提src换点钱买个新电脑,对着TX的域名一顿操作,奈何太菜只在QQ邮箱发现一个存储型self-xss。本着维护网络安全为己任的伟大梦想,怎么能放任这个漏洞不被修复呢?必须继续挖下去!!! 一、self-xss qq邮箱在账户设置中因为编辑器原因存在多处XSS,其中昵称处存在存储型XSS。 这个地方的XSS我想很多老哥都挖过,奈何TX不收啊, 正准备放弃的时候,脑子里浮现了一张图片:只有不努力的黑客,没有攻不破的系统.png 二、抓包改命 打开BURP,进行抓包,把更改昵称的包抓下来,发现是POST包,去掉无关参数改成get。 https://mail.qq.com/cgi-bin/setting4_editaccount? sid=g9g7NNlnse
发布时间:2020-03-04 08:42 | 阅读:34674 | 评论:0 | 标签:WEB安全 漏洞 QQ邮箱 Self-XSS 钓鱼攻击 xss 攻击

又到一年报税季,TA2101对德意美三国广撒网钓鱼

概述Proofpoint研究团队近期发现了数起针对当地公司企业的恶意攻击事件,波及德国、意大利和美国三个国家,所有事件均由TA2101所为,其手法是假冒当地的大型公司或政府机构,为目标群体发送钓鱼邮件,并在受害者机器上安装后门恶意软件。他们所选择的攻击对象没有针对特定的垂直行业,但偏重于商业、IT服务、制造业以及医疗保健行业的人群。Case 1:德国2019年10月16日至23日,Proofpoint注意到有数百封冒充德国联邦财政部的钓鱼邮件,其附件带有恶意Microsoft Word文档,内容是要求收件人提交退还税款的申请(使用附件表单),并在三天内进行处理。这些邮件批量小,主要针对IT服务公司。 图1:钓
发布时间:2019-11-19 13:25 | 阅读:20499 | 评论:0 | 标签:Web安全 钓鱼攻击

钓鱼攻击姿势老套,不明真相还是上当

近日,深信服安全团队捕获到一起高度个性化的钓鱼攻击事件,攻击者针对用户企业伪造了多份带有专业内容的攻击文档,通过邮件发送到目标邮箱,企图诱导用户打开附件中的文档。经安全专家分析,该文档其实为带有漏洞利用的恶意文件,其利用了一个较老的Office漏洞CVE-2012-0158,该漏洞常被用于APT攻击,通常以RTF文件或MIME文件为载体,影响的众多Office版本。文档分析打开该文档,内容上没有任何破绽,带有用户企业的页眉图标,内容也十分专业:不过,表面的伪装蒙混不过研究人员的眼睛,通过监控行为发现winword.exe运行后创建了一个PE文件rundll32.exe:进程: c:program filesmicros
发布时间:2019-08-27 13:10 | 阅读:41566 | 评论:0 | 标签:Web安全 钓鱼攻击

使用Azure Blob存储服务来仿冒微软进行的钓鱼攻击

尽管网络钓鱼攻击非常隐蔽,但是用户还是能注意到登录表单是否是安全的,或者SSL证书是否被模拟了。新的Office 365网络钓鱼攻击利用一种有趣的方法来存储Azure Blob存储上托管的网络钓鱼表单,以便通过Microsoft SSL证书进行保护。Azure Blob存储是一种Microsoft存储解决方案,可用于存储非结构化数据,如图像,视频或文本。Azure Blob存储的一个优点是可以使用HTTP和HTTPS访问,并且在通过HTTPS连接时,将显示来自Microsoft的签名SSL证书。通过在Azure Blob存储中存储网络钓鱼表单。显示的表单将由Microsoft的SSL证书签名,这也使其成为了创建针对Mi
发布时间:2018-10-11 12:20 | 阅读:97799 | 评论:0 | 标签:Web安全 钓鱼攻击

火眼分析报告:伊朗威胁组织的攻击技术详解

介绍从2018年1月到2018年3月,通过FireEye的动态威胁(Dynamic Threat)情报,我们观察到攻击者利用最新的代码执行和持久性技术,将基于宏的恶意文档传播给亚洲和中东的个人。我们把这一活动归因于“TEMP.Zagros”,是一个伊朗关系行动者,自2017年5月起就一直活跃着。该行动者从事的是在中亚和西南地区的政府和防御实体进行大量的网络钓鱼攻击。网络钓鱼攻击电子邮件和附加的恶意宏文件通常都包含地缘政治主题。一旦被成功执行,恶意文档就会安装一个我们跟踪的POWERSTATS后门。在分析这些文件时,一个更有趣的观察是重用了最新的AppLocker旁路,以及用于间接代码执行的横向移动技术。横向移动技术中的
发布时间:2018-03-20 12:20 | 阅读:102297 | 评论:0 | 标签:技术 钓鱼攻击

IBM X-Force安全报告:针对加拿大商业银行客户的网络钓鱼攻击活动

背景介绍 IBM X-Force的研究人员一直在跟踪一个针对加拿大商业银行的有针对性的网络钓鱼攻击活动,背后的操纵者可能来自乌克兰。这些攻击活动旨在诱骗那些有账户权限的人泄露他们公司的网上银行凭证、一次性密码和双因素身份验证码。 这种有针对性的网络钓鱼攻击的目标是接管账户并将资金转移到犯罪分子控制的骡子(Mule)账户上,之后再将所获资金转移到其他用于提现的账号上。 专门定制的诱饵电子邮件 袭击的第一步是定制用于钓鱼攻击的电子邮件。 与其他有针对性的攻击类似,攻击者定制了一封鱼叉式网络钓鱼邮件,精准的发送给具体的利益相关人,内容猛一看起来似乎是合法的:具有正确的银行标识和准确的信息。在这封电子邮件中,旨在获得受害者信任的一个细节是攻击者使用了PDF格式的附件,这使得威胁行为者能够隐藏URL链接、关键字和品牌名
发布时间:2017-11-25 02:40 | 阅读:122195 | 评论:0 | 标签:安全报告 IBM X-Force 钓鱼攻击 银行客户

【专题策划】知己知彼,百战不殆——网络钓鱼面面观(置顶)

阅读: 28钓鱼套路深,安全要认真!要想玩得转,还得功夫深!什么是网络钓鱼?2017年网络钓鱼现状?反钓鱼思路和解决方案?一步一步教你成为网钓老司机!文章目录网络钓鱼最强学习手册所谓“知己知彼,百战不殆”,击败敌人的首要前提是要了解敌人。那究竟什么是网络钓鱼呢?网络钓鱼的现状:危机四伏2017年第二季度重点关注:反钓鱼思路与方案事前预警 事中防御 事后整改绿盟科技解决方案网络钓鱼最强学习手册所谓“知己知彼,百战不殆”,击败敌人的首要前提是要了解敌人。那究竟什么是网络钓鱼呢?网络钓鱼大讲堂 Part1 | 网络钓鱼攻击定义及历史网络钓鱼大讲堂 Part2 | 网络钓鱼风险(攻击带来的损失)网络钓鱼大讲堂 Part3 | 网络钓鱼攻击向量介绍网络钓鱼大讲堂 Part4 | 网络钓鱼攻击战术网络钓鱼大讲堂 Part5
发布时间:2017-09-13 19:25 | 阅读:210816 | 评论:0 | 标签:安全分享 2017年Q2垃圾邮件与网络钓鱼分析报告 APT APT攻击 Backdoor.Java.QRat DoS攻击

网络钓鱼大讲堂 Part4 | 网络钓鱼攻击战术

阅读: 123要防护网络钓鱼攻击并制定相应计划,深入了解攻击者很关键,需要更多地了解此类攻击过程,包括从初始计划及准备阶段到钓鱼网络如何协助攻击发生,再到提交诱饵并收集数据 这些信息不仅可以帮助企业和组织对不可避免的攻击做到有备无患,在他们制定对抗攻击的关键步骤时还能提供重要的参考,有时甚至可以预防攻击。尽管无法保证攻击者不攻击您或您的企业,但请记住“凡事预则立”。文章目录计划与准备收集信息 — 第一步钓鱼网络下饵与信息搜集上钩免责声明计划与准备像任何军事活动一样,网络钓鱼攻击都是从很多琐碎的工作开始的。发起攻击前,需要进行大量的研究和细致的计划与准备。很多情况下,这些都不是一蹴而就的。它们是精心策划的攻击,能够让任何战术家引以为傲。收集信息 — 第一步策划网络钓鱼攻击的第一步是搜集信息。钓鱼组织(多数情况下,

【公益译文】网络钓鱼攻击

阅读: 5要防护网络钓鱼攻击并制定相应计划,深入了解攻击者很关键,需要更多地了解此类攻击过程,包括从初始计划及准备阶段到钓鱼网络如何协助攻击发生,再到提交诱饵并收集数据 这些信息不仅可以帮助企业和组织对不可避免的攻击做到有备无患,在他们制定对抗攻击的关键步骤时还能提供重要的参考,有时甚至可以预防攻击。尽管无法保证攻击者不攻击您或您的企业,但请记住“凡事预则立”。文章目录计划与准备收集信息 — 第一步钓鱼网络下饵与信息搜集上钩免责声明计划与准备像任何军事活动一样,网络钓鱼攻击都是从很多琐碎的工作开始的。发起攻击前,需要进行大量的研究和细致的计划与准备。很多情况下,这些都不是一蹴而就的。它们是精心策划的攻击,能够让任何战术家引以为傲。收集信息 — 第一步策划网络钓鱼攻击的第一步是搜集信息。钓鱼组织(多数情况下,为团
发布时间:2017-08-02 18:00 | 阅读:155403 | 评论:0 | 标签:威胁通报 绿盟 钓鱼 网络钓鱼 钓鱼 钓鱼攻击 钓鱼网站 钓鱼邮件

用AI检测鱼叉式网络钓鱼攻击

BEC攻击风险控制新服务推出:利用了机器学习和基于容器的技术。2016年3月,Barracuda收购初创公司Sookasa。今年6月28日,融入了该公司多项新技术的 Barracuda Sentinel 推出,有望辅助检测鱼叉式网络钓鱼,提升电子邮件安全。Sookasa的团队专注研究通信与内容安全,Sentinel采用了很多该团队以云服务API做出的工作成果。新鲜出炉的 Barracuda Sentinel 服务利用机器学习和人工智能技术,发现潜在恶意电子邮件攻击和针对性鱼叉式网络钓鱼。该服务采用多种机器学习技术执行电子邮件消息分析,其中就包含了 Apache Spark。与大规模垃圾邮件攻击相反,针对性鱼叉式网络钓鱼只对特定用户发起攻击。鱼叉式网络钓鱼攻击还可导致商业电邮诈骗(BEC),诱导用户向攻击者的虚假
发布时间:2017-07-05 23:00 | 阅读:193351 | 评论:0 | 标签:技术产品 AI Barracuda Sentinel 邮件安全 钓鱼攻击

反钓鱼的整体防护思路

阅读: 99所谓“姜太公钓鱼,愿者上钩”,钓鱼者首选的策略是通过大量散发诱骗邮件、垃圾短信,冒充成一个可信的组织机构(通常是受害者所信任的机构),去引诱尽可能多的用户。钓鱼者会发出一个让用户采取紧急动作的请求,而具有讽刺意义的是通常其理由是保护用户的机密性数据免受恶意活动的侵害,这封欺骗性的电子邮件将会包含一个容易混淆的链接,指向一个假冒目标机构公开网站的远程网页。文章目录钓鱼攻击的手段钓鱼攻击的常见攻击手段钓鱼攻击的特点反钓鱼的整体防护思路基于“事前-事中-事后”循序改进的防护思路钓鱼攻击的手段钓鱼攻击常用的手段归纳起来主要分为两类,第一类主要通过漏洞触发,包括目标网站服务器漏洞(如XSS、SQL注入),第三方引用内容的问题(如IFRAME挂马),网站IT支撑环境相关的DNS、HTTPS、SMTP服务缺陷(如
发布时间:2017-06-15 23:55 | 阅读:154373 | 评论:0 | 标签:安全分享 反钓鱼攻击 反钓鱼的整体防护 钓鱼攻击 钓鱼攻击常见手段 钓鱼攻击特点

同形异义:最狡猾的钓鱼攻击

网络钓鱼能让坚定的技术拥趸抓狂。一次错误点击,可能就是几千万的金钱损失,或者造成公司数据泄露。而且,网络钓鱼进化频繁。 最近出现的一个例子就是,狡猾的新漏洞利用程序,可以让恶意网络钓鱼网站具备与已知可信网站一模一样的URL。 现在大家都知道要检查浏览器地址栏的绿色小锁头,看看是否启用了TLS加密。看到这个小锁头,你就知道没人能窃听你提交的任何数据了——这对金融和医疗网站而言是一个特别重要的考量。但是,能够冒充合法URL并绘制小锁头的恶意网站,就几乎不会给出你正在访问冒充者的任何提示了。 同形异义字 该漏洞利用了很多域名没有使用拉丁字母(比如中国汉字或斯拉夫语)的事实。基于英文的浏览器遇到这些URL时,会用Punycode域名编码,从在线文本标准Unicode维护的标准字符编码库中,对每个字符进行渲染。这个转换
发布时间:2017-04-22 03:25 | 阅读:153523 | 评论:0 | 标签:威胁情报 Punycode 同形异义 钓鱼攻击

Evilginx:可绕过双因素验证的高级钓鱼框架

过去几个月里,我一直在研究可用于渗透测试任务的网络钓鱼技术。我发现,几乎所有的网络钓鱼都是通过网络钓鱼获得登录凭证开始进行攻击的。今天的这篇文章中,我将向大家展示新发现的一个钓鱼攻击技巧,它可以让网络钓鱼更加隐蔽。首先声明下,Evilginx钓鱼攻击方法仅仅是我用来做钓鱼测试用的。之所以会公布出来,只是出于技术交流和安全漏洞预警目的。Evilginx,可绕过双因素验证的高级钓鱼框架。它是一个中间人攻击框架,用于远程捕获任何Web服务的凭证和会话cookie。Evilginx使用Nginx HTTP服务器来代理合法登录访问者页面,并且即时捕获凭证和会话cookie。Evilginx支持远程操作,使用自定义域和有效的SSL证书。接下来我将为大家详细分析一下Evilginx是如何对Google服务网络钓鱼的。由于目前
发布时间:2017-04-11 22:45 | 阅读:204916 | 评论:0 | 标签:技术 中间人攻击 钓鱼攻击 黑客工具

新型Gmail钓鱼攻击连最谨慎的用户都会中招

一种新型网络钓鱼技术可诱使互联网用户将Gmail账户拱手交给黑客 WordPress安全插件创建者Wordfence称:黑客向被泄账户联系人发送电子邮件,附上看似无害的附件。只要用户点击附件,浏览器便会打开貌似谷歌登录页面的新标签页。用户输入的登录信息就直接发回给了攻击者。 在《黑客新闻》网站,一名评论者曾描述过自己学校去年发生的类似事件。他们学校的几名员工和学生就是在收到恶意邮件并打开附件后,被骗走了自己的账户信息: 这是我见过最高明的攻击。攻击者一拿到凭证就立即登录你的账户,用你账户中真实存在的主题和附件构造恶意邮件,发给你的联系人。举个例子:他们登进某学生的账户,抽出一份田径队训练计划的附件,弄个截屏,然后带上稍微相关的主题,发送给该田径队的其他成员。 虽然将你的Gmail账户当成攻击链宿主已经够恐怖的
发布时间:2017-01-20 17:40 | 阅读:116166 | 评论:0 | 标签:威胁情报 gmail 钓鱼攻击

机器学习如何帮助黑客

机器学习将提高成功攻击的可能性 上周发布的《迈克菲实验室2017威胁预测报告》中写道,犯罪分子将使用机器学习来分析大量被盗记录以发现潜在受害者,并构建上下文详实的电子邮件来高效狩猎这些个人目标。简言之,就像防御者使用机器学习来检测攻击一样,攻击者也将使用该技术来自动化攻击和绕过检测。 英特尔安全的CTO史蒂夫·格罗博曼表示,攻击者有两个独立的机器学习(ML)使用领域。首先,利用ML技术来开发破坏ML防御的策略。其次,将ML作为提高攻击有效性的工具——我们已经开始见证的绝佳例子就是用ML来自动化高级鱼叉式钓鱼攻击。 第一种方法中,机器学习可被用来分析防御措施,开发新的规避技术。比如说,通过模型中毒攻击——引入错误数据来让防御方的ML开始错误分类。 另一个不错的例子,是一种被称为“提升噪声基底”的技术。这种方法里
发布时间:2016-12-07 06:25 | 阅读:140646 | 评论:0 | 标签:术有专攻 机器学习 迈克菲 钓鱼攻击

公告

九层之台,起于累土;黑客之术,始于阅读

推广

工具

标签云