iPhone Android 用家注意！ PDF 藏惡意連結，隨時中招！

zero comment

新iPhone和Android警告——請勿打開這些PDF

隨著行動威脅環境的惡化，iPhone和Android用戶近日被警告，出現了一種專門針對移動設備的危險攻擊，已被發現“竊取憑證和敏感數據”。這種攻擊的隱藏方式是前所未見的，除了要避免這一威脅外，還需要考慮你是否已經成為目標。

這項警告來自Zimperium，其zLabs團隊已發佈了這些新攻擊的完整技術細節。不過，了解基本情況就足夠了。攻擊者利用新的技術製作PDF文件，能夠繞過現有的安全檢查，並依賴這些附件的普遍性。

這場攻擊模仿美國郵政服務（USPS）發送到移動設備的短信，但這只是最簡單的部分。因此，除非你確信其合法性，否則應該停止打開任何來自知名品牌的短信附件PDF。

由於PDF文件現已無處不在，“廣泛用於合同、報告、手冊、發票和其他關鍵商業交流”，Zimperium警告用戶已經形成了一種自然但危險的假設，認為所有PDF都是安全的。而現在，網絡犯罪分子正積極利用這種錯誤的自信。儘管我希望用戶的信心已經隨著最近幾個月的其他PDF攻擊而改變，但我擔心Zimperium的看法可能是正確的。

Zimperium指出，這一威脅正在加劇。“由於PDF能夠嵌入惡意鏈接、腳本或有效載荷，PDF已成為網絡釣魚攻擊、惡意軟件和漏洞的常見載體。”在移動設備上，由於屏幕較小且細節被隱藏，問題變得更加嚴重。“用戶在打開文件之前通常對內容的可見性有限，這些威脅可以輕易繞過傳統安全措施。”

在PDF中，鏈接“通常使用/URI標籤表示”，但攻擊者發現通過“嵌入可點擊的鏈接而不使用標準的/URI標籤”，使得“在[安全]分析過程中提取URL變得更加具有挑戰性……相反，當使用標準的/URI標籤時，則能檢測到相同的URL。這突顯了該技術在掩蓋惡意URL方面的有效性。”

Zimperium表示，它已識別出超過“20個惡意PDF文件和630個具有‘隱藏’鏈接的網絡釣魚頁面，顯示出一個大規模的操作。”這場攻擊似乎得到了廣泛的“惡意基礎設施”的支持，可能會影響超過50個國家的組織。這一攻擊運用了複雜且前所未見的技術來隱藏可點擊元素，使得大多數端點安全解決方案難以正確分析隱藏的鏈接。

儘管其巧妙之處，這一攻擊本身仍遵循了通常的模式，即誘使用戶點擊一個鏈接，將其引導至一個竊取憑證的網頁。掩蓋的正是鏈接，而這是共同的主題。

在Zimperium的研究結果發布後，這一建議——不要打開任何附在電子郵件或消息中的PDF，尤其是來自知名品牌的，除非你能絕對保證其真實性——再次得到了強調。

Palo Alto Networks經常警告PDF相關的網絡釣魚攻擊的危險，並再次發出警告。該公司的Unit 42警告，剛剛發現了一種新的攻擊，使用“與網絡釣魚頁面相關的PDF，假冒亞馬遜”。希望本周有兩次警告的事實能讓你更加警惕。

這些鏈接的網絡釣魚攻擊“要求提供個人信息和信用卡數據”，Unit 42表示，該攻擊使用其自己的“隱蔽”技術，通過“將掃描和其他分析嘗試重定向到良性域名。”這些攻擊遵循相同的模式，一個鏈接引導到另一個鏈接，用戶被帶入一系列攻擊者註冊的域名。最終，將會有一個設計用來竊取信息的網頁。唯一的區別是——USPS被亞馬遜Prime取代。

值得注意的是，Palo Alto Networks報告稱，在一年內，“我們注意到惡意PDF文件驟增1160%——從411,800個惡意文件增加到5,224,056個。”PDF文件是引人注目的網絡釣魚載體，因為它們是跨平台的，能夠讓攻擊者與用戶互動，使其計劃更具可信度，而不是僅僅通過一封帶有普通鏈接的文本電子郵件。該團隊警告稱，“大規模的網絡釣魚攻擊的點擊率可高達8%。因此，重要的是要驗證和仔細檢查你意外收到的文件，即使它們來自你認識和信任的實體。例如，為什麼你的帳戶會突然被鎖定，或者為什麼有人在你最意想不到的時候與你分享文件？”

有趣的是，這份報告雖然是在2020年發佈的，但相同的主題在今天仍然出現。他們的五大網絡釣魚趨勢中有兩個是亞馬遜和CAPTCHA，這兩者我們在上周也再次見到。PDF網絡釣魚攻擊並不新鮮，並且在近年來“激增”。這裡有趣的是新型鏈接隱藏技術的結合以及對移動設備的專注。不過，保持安全的方式仍然相同。你必須不點擊鏈接或打開文本消息中的附件，幾乎所有這些都是危險的。

儘管這些新型的隱蔽技術令人擔憂，但網絡釣魚的包裝本身並不新奇。品牌冒充是最基本的手段，隨著人工智能的應用，這種情況只會變得更糟，因為人工智能能更好地模仿語氣、風格和圖像，使得惡意文本和電子郵件更難以區分真偽。

McKinsey本週再次警告，“網絡安全一直是一個威脅不斷變化的領域，隨著AI和生成性AI的興起，企業現在面臨著新挑戰，而現有問題則被加劇。”該公司強調，“生成性AI使攻擊者能夠創建更真實的網絡釣魚電子郵件和深偽技術，以欺騙員工透露敏感信息。自從ChatGPT推出以來，檢測到的網絡釣魚網站數量激增了138%。”從商業角度來看，損失是巨大的。“當前的網絡安全形勢充滿了熟悉的威脅。網絡釣魚、商業電子郵件妥協和憑證盜竊導致的違規事件，使組織每次成功事件平均損失500萬美元。AI和生成AI為傳統攻擊增加了新的危險，使它們更難以通過傳統手段檢測。”

一個完美的例子是最近出現的騙局，使用Google作為幌子，這位潛在受害者，一位精明的工程師，形容其為“我見過的最精妙的網絡釣魚攻擊”，並承認差點成為受害者。“我的心情有點震驚，”Zach Latta承認。

這一騙局通過電話和電子郵件進行最初的網絡釣魚誘餌，所有信息都打扮得像是直接來自Google支持。閱讀Latta的故事值得一提，這能讓你感受到這類攻擊的狡猾之處。 mass spray attacks與大規模的攻擊不同，後者通常是針對特定目標，攻擊者會投入資金，因為他們認為獲得的利益足以justify這一投資。這一點非常重要，因為你需要更加警惕。

正如TechRadar指出的，“不僅電子郵件被發送，而且是從‘workspace-noreply@google.com’發送的，與他的‘重要.g.co’密碼有關，攻擊者聲稱這是Google的內部子網。這一點很重要，因為即使我們自己的TechRadar網絡釣魚建議也將此識別為一個嚴重的風險指標。”不幸的是，這意味著硬性規則——不點擊鏈接、不下載、不打開附件、在被要求時不透露你的信息，除非是在你知道是真實的包裹內。一旦被冷不丁要求，就更要小心了。

在這個信息化的時代，安全意識的提升至關重要。隨著網絡攻擊手法的日益複雜，無論是個人還是企業，都需要時刻保持警惕。希望這些警告能夠讓大家更加謹慎，避免成為下一個受害者。

以上文章由特價GPT API KEY所翻譯及撰寫。而圖片則由FLUX根據內容自動生成。