新iPhone和Android警告——請勿打開這些PDF
隨著行動威脅環境的惡化,iPhone和Android用戶近日被警告,出現了一種專門針對移動設備的危險攻擊,已被發現“竊取憑證和敏感數據”。這種攻擊的隱藏方式是前所未見的,除了要避免這一威脅外,還需要考慮你是否已經成為目標。
這項警告來自Zimperium,其zLabs團隊已發佈了這些新攻擊的完整技術細節。不過,了解基本情況就足夠了。攻擊者利用新的技術製作PDF文件,能夠繞過現有的安全檢查,並依賴這些附件的普遍性。
這場攻擊模仿美國郵政服務(USPS)發送到移動設備的短信,但這只是最簡單的部分。因此,除非你確信其合法性,否則應該停止打開任何來自知名品牌的短信附件PDF。
由於PDF文件現已無處不在,“廣泛用於合同、報告、手冊、發票和其他關鍵商業交流”,Zimperium警告用戶已經形成了一種自然但危險的假設,認為所有PDF都是安全的。而現在,網絡犯罪分子正積極利用這種錯誤的自信。儘管我希望用戶的信心已經隨著最近幾個月的其他PDF攻擊而改變,但我擔心Zimperium的看法可能是正確的。
Zimperium指出,這一威脅正在加劇。“由於PDF能夠嵌入惡意鏈接、腳本或有效載荷,PDF已成為網絡釣魚攻擊、惡意軟件和漏洞的常見載體。”在移動設備上,由於屏幕較小且細節被隱藏,問題變得更加嚴重。“用戶在打開文件之前通常對內容的可見性有限,這些威脅可以輕易繞過傳統安全措施。”
在PDF中,鏈接“通常使用/URI標籤表示”,但攻擊者發現通過“嵌入可點擊的鏈接而不使用標準的/URI標籤”,使得“在[安全]分析過程中提取URL變得更加具有挑戰性……相反,當使用標準的/URI標籤時,則能檢測到相同的URL。這突顯了該技術在掩蓋惡意URL方面的有效性。”
Zimperium表示,它已識別出超過“20個惡意PDF文件和630個具有‘隱藏’鏈接的網絡釣魚頁面,顯示出一個大規模的操作。”這場攻擊似乎得到了廣泛的“惡意基礎設施”的支持,可能會影響超過50個國家的組織。這一攻擊運用了複雜且前所未見的技術來隱藏可點擊元素,使得大多數端點安全解決方案難以正確分析隱藏的鏈接。
儘管其巧妙之處,這一攻擊本身仍遵循了通常的模式,即誘使用戶點擊一個鏈接,將其引導至一個竊取憑證的網頁。掩蓋的正是鏈接,而這是共同的主題。
在Zimperium的研究結果發布後,這一建議——不要打開任何附在電子郵件或消息中的PDF,尤其是來自知名品牌的,除非你能絕對保證其真實性——再次得到了強調。
Palo Alto Networks經常警告PDF相關的網絡釣魚攻擊的危險,並再次發出警告。該公司的Unit 42警告,剛剛發現了一種新的攻擊,使用“與網絡釣魚頁面相關的PDF,假冒亞馬遜”。希望本周有兩次警告的事實能讓你更加警惕。
這些鏈接的網絡釣魚攻擊“要求提供個人信息和信用卡數據”,Unit 42表示,該攻擊使用其自己的“隱蔽”技術,通過“將掃描和其他分析嘗試重定向到良性域名。”這些攻擊遵循相同的模式,一個鏈接引導到另一個鏈接,用戶被帶入一系列攻擊者註冊的域名。最終,將會有一個設計用來竊取信息的網頁。唯一的區別是——USPS被亞馬遜Prime取代。
值得注意的是,Palo Alto Networks報告稱,在一年內,“我們注意到惡意PDF文件驟增1160%——從411,800個惡意文件增加到5,224,056個。”PDF文件是引人注目的網絡釣魚載體,因為它們是跨平台的,能夠讓攻擊者與用戶互動,使其計劃更具可信度,而不是僅僅通過一封帶有普通鏈接的文本電子郵件。該團隊警告稱,“大規模的網絡釣魚攻擊的點擊率可高達8%。因此,重要的是要驗證和仔細檢查你意外收到的文件,即使它們來自你認識和信任的實體。例如,為什麼你的帳戶會突然被鎖定,或者為什麼有人在你最意想不到的時候與你分享文件?”
有趣的是,這份報告雖然是在2020年發佈的,但相同的主題在今天仍然出現。他們的五大網絡釣魚趨勢中有兩個是亞馬遜和CAPTCHA,這兩者我們在上周也再次見到。PDF網絡釣魚攻擊並不新鮮,並且在近年來“激增”。這裡有趣的是新型鏈接隱藏技術的結合以及對移動設備的專注。不過,保持安全的方式仍然相同。你必須不點擊鏈接或打開文本消息中的附件,幾乎所有這些都是危險的。
儘管這些新型的隱蔽技術令人擔憂,但網絡釣魚的包裝本身並不新奇。品牌冒充是最基本的手段,隨著人工智能的應用,這種情況只會變得更糟,因為人工智能能更好地模仿語氣、風格和圖像,使得惡意文本和電子郵件更難以區分真偽。
McKinsey本週再次警告,“網絡安全一直是一個威脅不斷變化的領域,隨著AI和生成性AI的興起,企業現在面臨著新挑戰,而現有問題則被加劇。”該公司強調,“生成性AI使攻擊者能夠創建更真實的網絡釣魚電子郵件和深偽技術,以欺騙員工透露敏感信息。自從ChatGPT推出以來,檢測到的網絡釣魚網站數量激增了138%。”從商業角度來看,損失是巨大的。“當前的網絡安全形勢充滿了熟悉的威脅。網絡釣魚、商業電子郵件妥協和憑證盜竊導致的違規事件,使組織每次成功事件平均損失500萬美元。AI和生成AI為傳統攻擊增加了新的危險,使它們更難以通過傳統手段檢測。”
一個完美的例子是最近出現的騙局,使用Google作為幌子,這位潛在受害者,一位精明的工程師,形容其為“我見過的最精妙的網絡釣魚攻擊”,並承認差點成為受害者。“我的心情有點震驚,”Zach Latta承認。
這一騙局通過電話和電子郵件進行最初的網絡釣魚誘餌,所有信息都打扮得像是直接來自Google支持。閱讀Latta的故事值得一提,這能讓你感受到這類攻擊的狡猾之處。 mass spray attacks與大規模的攻擊不同,後者通常是針對特定目標,攻擊者會投入資金,因為他們認為獲得的利益足以justify這一投資。這一點非常重要,因為你需要更加警惕。
正如TechRadar指出的,“不僅電子郵件被發送,而且是從‘workspace-noreply@google.com’發送的,與他的‘重要.g.co’密碼有關,攻擊者聲稱這是Google的內部子網。這一點很重要,因為即使我們自己的TechRadar網絡釣魚建議也將此識別為一個嚴重的風險指標。”不幸的是,這意味著硬性規則——不點擊鏈接、不下載、不打開附件、在被要求時不透露你的信息,除非是在你知道是真實的包裹內。一旦被冷不丁要求,就更要小心了。
在這個信息化的時代,安全意識的提升至關重要。隨著網絡攻擊手法的日益複雜,無論是個人還是企業,都需要時刻保持警惕。希望這些警告能夠讓大家更加謹慎,避免成為下一個受害者。
以上文章由特價GPT API KEY所翻譯及撰寫。而圖片則由FLUX根據內容自動生成。
