根据ASRC(亚洲垃圾邮件研究中心)和寿内安公司的监测和观察，2024年第二季度，网络攻击的分工将越来越细致。从攻击趋势分析来看，可以将其明确分为两个阶段:初始入侵阶段和后续的横向或深度攻击阶段。初始入侵主要通过漏洞利用或凭证泄露进行。获取泄露凭证的一个重要方法是通过网络钓鱼邮件。本季度，我们需要特别警惕网络钓鱼邮件。年中，很多单位会进行社会工程演练，这会增加信息安全或IT部门的负担，所以要特别注意防护。此外，上一季度的主流二维码网络钓鱼邮件攻击在本季度仍在继续，未来很可能演变为常态化的攻击方式。

以下是本季度的特殊攻击示例介绍:

01
用于钓鱼邮件的必应服务
合法服务一直是网络钓鱼邮件的目标，因为网络钓鱼邮件中的超链接是他们最关键和最容易识别的部分。最近，我们发现Bing的服务被用来代替网络钓鱼邮件中的超链接。

通过必应的链接，受害者将首先被定向到一个恶意网站中继，然后重定向到实际的恶意页面。此恶意页面将直接显示受害者的电子邮件，并模仿Gmail的登录页面，主要目的是欺骗电子邮件登录账号和密码!更有趣的是，在第一次输入密码后，页面会更新一次，使受害者误以为输入不成功;第二次进入时，会直接重定向到Gmail的登录页面，这可能是为了提高找回密码的准确性。

02
很难区分真假的网络钓鱼邮件
一些网络钓鱼邮件会被修改为真实的通知邮件，甚至包括警告链接，以防止欺诈。整个邮件中的大部分超链接都指向真实的网站;但只有一个关键的超链接，将导致一个真正的网络钓鱼网站!这对受害者和扫描机制来说都有些欺骗性。

03
虚假侵权警告攻击邮件
本季度，我们还观察到带有假冒侵权警告的攻击电子邮件。这些电子邮件是精心制作的，侵权内容的证据似乎是确凿的，高度欺骗性的!但这些邮件来自Gmail，正式的商务通信或重要通知通常不会通过免费电子邮件发送。在收到这类邮件时，只要冷静判断，就能发现其中的异常。涉及金钱和法律等重大事件的电子邮件必须通过官方和合法渠道进行核实;千万不要因为一时的冲动而随意点击邮件中的联系方式或超链接，也不要贸然下载相关文件。

这封邮件主要是诱使受害者下载他们编写的“侵权证据文件”，但黑客不希望自动扫描机制介入并检查文件内容。因此，在正式下载文件之前，需要进行“人机验证”，验证成功后才能下载压缩文件。

在这个压缩文件中，有三个文件，其中最重要的是可执行PE文件，其图标已被替换为PDF图标，以引诱受害者打开PDF文件DLL文件是Remcos的后门;和另一个。解压缩后的Info文件会变得非常大，这可能会干扰扫描和检查机制。Remcos的常见部署方法是将其嵌入伪装成pdf的恶意ZIP文件中，声称包含发票或订单;其后门功能包括规避反病毒检查、权限升级、数据收集等。

后记
一项调查显示，发送探索性的社交工程练习电子邮件可能会让员工感到紧张和压力，但这可能对识别真正的网络钓鱼或攻击电子邮件没有太大帮助;相反，通过实例进行教育培训，可以更好地增强员工的安全意识和识别能力!网络钓鱼或网络钓鱼邮件都是基于社会工程的攻击方式，所以这种攻击很容易利用受害者的好奇、恐惧、时间压力或其他心理压力，导致受害者疏忽。
面对千变万化的网络钓鱼邮件，仅凭外观很难区分真假邮件!但网络钓鱼或诈骗电子邮件的通常方法是希望受害者确认或执行某种操作

威胁者声称泄露了投保人的姓名、电子邮件、出生日期和详细信息。
据报道，全球投资银行和金融服务公司瑞士信贷遭受了网络攻击。据报道，瑞士信贷的数据泄露是由一名化名为“888”的威胁行为者(TA)在数据黑客网站BreachForums上策划的。
这名黑客声称从该银行获得了高度敏感的数据，并将其发布在暗网市场上。据威胁行为者称，数据泄露涉及该银行约19,000名印度员工的个人信息。
瑞士信贷数据泄露详情
瑞士信贷成立于1856年，年收入约为152.1亿美元。它是私人银行和资产管理领域的领先机构之一，在投资银行业务方面拥有广泛的专业知识。
2024年6月25日，该威胁行为者声称对该银行发动了网络攻击，并泄露了19000名用户的详细信息。
据报道，泄露的数据包括员工姓名、6623唯一电子邮件地址、员工代码、出生日期、性别、保单名称、关系、雇佣日期、生效日期、状态和实体。
为了证实这一说法，威胁行为者888提供了一个数据泄露样本，其中包括瑞士信贷印度公司员工的详细信息。
然而，TA没有提供数据销售的具体价格，并要求潜在买家提供一个数字。黑客们评论说，他们只接受加密货币作为支付方式。更具体地说，黑客愿意使用门罗币(XMR)进行支付，这是一种以隐私和匿名属性而闻名的数字货币。这种支付方式通常用于非法交易，以逃避检测。
尽管攻击者提出了各种要求，但经过仔细检查，发现该银行网站目前运行正常，没有任何安全漏洞的迹象。《网络快报》已联系该银行核实所谓的网络攻击。截至目前，尚未收到官方声明或回应，因此这些说法尚未得到证实。
这不是瑞信第一次遭遇数据泄露
这不是瑞信第一次卷入安全漏洞。据《经济时报》报道，在2023年，该银行警告员工，一名前员工窃取了他们的个人数据，包括工资和奖金。这些信息包括2013年至2015年的工资和“可变薪酬”。
彭博社的另一份报告称，2023年的数据泄露影响了瑞士信贷的许多前客户，总账户价值高达1000亿美元。
瑞士信贷黑客最近瞄准大型跨国公司
在数据泄露事件中发现的敏感信息可能被滥用，包括客户姓名、出生日期和关系，这引起了许多担忧。考虑到威胁行为者的历史，瑞士信贷应该调查数据泄露索赔。
本月初，TA 888声称窃取了埃森哲32000多名现任和前任员工的数据。但该公司否认了这一说法，并表示黑客发布的数据集只包含三名员工的姓名和电子邮件地址。
该黑客还声称对泄露喜力在多个国家的8174名员工的信息负责。
此前，888还声称对跨国石油和天然气公司壳牌发动了攻击。TA发布了澳大利亚客户个人信息共享的样本信息。
声明:本平台收集的部分公开数据来源于互联网。转载的目的是为了传递更多信息并在网上分享，不代表本平台同意其观点并对其真实性负责，也不构成其他建议。如果您发现平台上的作品侵犯了您的知识产权，请与我们联系，我们将及时修改或删除。

据报道，在2024年7月，在一次未公开的第三方入侵事件中，员工姓名、电子邮件和位置数据被泄露
一名威胁行为者(TA)声称策划了微软的数据泄露事件，据报道，该事件泄露了2000多名员工的敏感数据。这个臭名昭著的TA，使用化名888，透露这些数据据报道是在2024年7月在一个未公开的第三方泄露中泄露的，但这些数据的最晚日期是2022年。
微软数据泄露事件的细节
根据TA在暗网市场BreachForums上的帖子，被黑客入侵的数据包括微软员工的2073个个人身份信息(PII)记录，包括名字、姓氏、职位、电子邮件、领英个人资料URL、城市和国家。
为了证实数据泄露的说法，攻击者分享了数据泄露的样本，其中包括大多数新西兰用户和一个希腊用户的敏感PII。然而，TA并没有详细解释是哪个微软的第三方应用程序被黑客攻击并导致了泄密。
对微软员工的潜在影响
如果事实属实，这次数据泄露的潜在后果可能非常严重，因为敏感的PII记录可能会泄露。组织应采取适当措施保护相关利益相关者的隐私和安全。个人信息泄露可能导致身份盗窃、财务欺诈和客户信任的丧失，从而危及公司在行业中的地位。
目前，有关微软数据泄露的程度和网络攻击背后的动机的详细信息尚未公开。
尽管TA“888”声称有这样的问题，但没有公开信息表明微软仍在正常运行的任何资产已被泄露。这种矛盾使人们对恶意行为者所作陈述的真实性产生怀疑。
黑客888此前曾与多起备受瞩目的数据泄露事件有关，其中包括瑞士信贷、埃森哲印度、壳牌、喜力啤酒和联合国儿童基金会。
为了证实这些说法的真实性，网络快报联系了微软官员。截至撰写本文时，尚未收到任何回应，因此数据泄露的说法尚未得到证实。
微软因安全措施不足而受到批评
由于安全漏洞，微软最近受到了严格的审查。
2024年4月，发生重大数据泄露事件，敏感的员工凭证和公司内部文件在互联网上曝光，引发了对组织内部数据安全协议的严重担忧。数据泄露是通过托管在微软Azure云服务上的开放和公共存储服务器发现的。
据TechCrunch报道，微软的内部安全系统没有注意到或检测到数据泄露，这引发了对其监控机制有效性的质疑。
报告进一步强调，在线访问的数据包括大量敏感信息，如代码、脚本和配置文件，其中包含微软员工访问内部数据库和系统时使用的密码、密钥和凭据。
今年2月，微软用于云软件解决方案的Azure组件报告了“三个高风险漏洞”和一个可能导致远程代码执行(RCE)攻击的严重物联网设备漏洞。
上个月，尽管未能解决来自安全和隐私倡导者的担忧，微软继续推进新的Windows Recall屏幕记录功能。在受到批评后，该公司宣布将推迟召回功能以进行进一步测试。
微软总裁布拉德·史密斯(Brad Smith)今年6月在美国众议院国土安全委员会的听证会上表示，该公司本财年增加了1600名安全工程师，并将在下一财年新增800个安全职位，以加强网络安全措施。
声明:本平台收集的部分公开数据来源于互联网。转载的目的是为了传递更多信息并在网上分享，不代表本平台同意其观点并对其真实性负责，也不构成其他建议。如果您发现平台上的作品侵犯了您的知识产权，请与我们联系，我们将及时修改或删除。

Website operators who will be impacted by the upcoming change in Chrome for new TLS certificates issued after October 31, 2024 can explore continuity options offered by Entrust. Entrust has expressed its commitment to continuing to support customer needs, and is best positioned to describe the available options for website operators. Learn more at Entrust’s TLS Certificate Information Center.

The Chrome Security Team prioritizes the security and privacy of Chrome’s users, and we are unwilling to compromise on these values.

The Chrome Root Program Policy states that CA certificates included in the Chrome Root Store must provide value to Chrome end users that exceeds the risk of their continued inclusion. It also describes many of the factors we consider significant when CA Owners disclose and respond to incidents. When things don’t go right, we expect CA Owners to commit to meaningful and demonstrable change resulting in evidenced continuous improvement.

Over the past several years, publicly disclosed incident reports highlighted a pattern of concerning behaviors by Entrust that fall short of the above expectations, and has eroded confidence in their competence, reliability, and integrity as a publicly-trusted CA Owner.

In response to the above concerns and to preserve the integrity of the Web PKI ecosystem, Chrome will take the following actions.

在2024年10月31日之后发布的新TLS证书即将受到Chrome浏览器变化影响的网站运营商可以探索委托提供的连续性选项。托付已经表达了继续支持客户需求的承诺，并且最适合描述网站运营商的可用选项。在委托的TLS证书信息中心了解更多信息。

Chrome安全团队优先考虑Chrome用户的安全和隐私，我们不愿意在这些价值观上妥协。

Chrome根程序政策规定，包含在Chrome根存储中的CA证书必须为Chrome最终用户提供超过其继续包含的风险的价值。它还描述了当CA所有者披露和响应事件时我们认为重要的许多因素。当事情不顺利时，我们期望CA所有者承诺进行有意义的和可证明的更改，从而产生可证明的持续改进。

在过去的几年中，公开披露的事件报告强调了委托的相关行为模式，这些行为没有达到上述期望，并且削弱了对其作为公众信任的CA所有者的能力，可靠性和完整性的信心。

为了回应上述问题并维护Web PKI生态系统的完整性，Chrome将采取以下行动。

今天，我们宣布我们打算尽快终止对在线证书状态协议(OCSP)的支持，转而支持证书撤销列表(crl)。
Today we are announcing our intent to end Online Certificate Status Protocol (OCSP) support in favor of Certificate Revocation Lists (CRLs) as soon as possible.

OCSP和crl都是ca通信证书撤销信息的机制，但是crl比OCSP有明显的优势。
OCSP and CRLs are both mechanisms by which CAs can communicate certificate revocation information, but CRLs have significant advantages over OCSP.

Let 's Encrypt自近十年前推出以来一直提供OCSP响应器。
Let’s Encrypt has been providing an OCSP responder since our launch nearly ten years ago.

我们在2022年增加了对crl的支持。
We added support for CRLs in 2022.

网站和访问它们的人不会受到这一变化的影响，但一些非浏览器软件可能会受到影响。
Websites and people who visit them will not be affected by this change, but some non-browser software might be.

我们计划终止对OCSP的支持，主要是因为它对互联网上的隐私构成了相当大的风险。
We plan to end support for OCSP primarily because it represents a considerable risk to privacy on the Internet.

当有人使用浏览器或其他通过OCSP检查证书撤销的软件访问网站时，操作OCSP响应器的证书颁发机构(CA)立即意识到访问者的特定IP地址正在访问哪个网站。
When someone visits a website using a browser or other software that checks for certificate revocation via OCSP, the Certificate Authority (CA) operating the OCSP responder immediately becomes aware of which website is being visited from that visitor’s particular IP address.

即使CA有意不保留这些信息(Let’s Encrypt就是这种情况)，CA也可能在法律上被强制收集这些信息。
Even when a CA intentionally does not retain this information, as is the case with Let’s Encrypt, CAs could be legally compelled to collect it.

crl没有这个问题。
CRLs do not have this issue.

我们之所以采取这一步骤，还因为保持CA基础设施尽可能简单对于Let’s Encrypt的一致性、可靠性和效率的连续性至关重要。
We are also taking this step because keeping our CA infrastructure as simple as possible is critical for the continuity of compliance, reliability, and efficiency at Let’s Encrypt.

自我们成立以来的每一年，营运OCSP服务都占用了相当多的资源，而这些资源本可以更好地用于我们其他方面的运作。
For every year that we have existed, operating OCSP services has taken up considerable resources that can soon be better spent on other aspects of our operations.

现在我们支持crl，我们的OCSP服务就没有必要了。
Now that we support CRLs, our OCSP service has become unnecessary.

2023年8月，CA/浏览器论坛通过了一项投票，决定为公开信任的CA(如Let’s Encrypt)提供可选的OCSP服务。
In August of 2023 the CA/Browser Forum passed a ballot to make providing OCSP services optional for publicly trusted CAs like Let’s Encrypt.

除了一个例外，微软，根程序本身不再需要OCSP。
With one exception, Microsoft, the root programs themselves no longer require OCSP.

一旦微软根程序也使OCSP可选，我们乐观地认为这将在未来6到12个月内发生，Let 's Encrypt打算宣布关闭我们的OCSP服务的具体和快速时间表。
As soon as the Microsoft Root Program also makes OCSP optional, which we are optimistic will happen within the next six to twelve months, Let’s Encrypt intends to announce a specific and rapid timeline for shutting down our OCSP services.

我们希望在公告发布后的三到六个月内提供最后一次OCSP响应。
We hope to serve our last OCSP response between three and six months after that announcement.

了解这些计划更新的最佳方式是订阅我们在Discourse上的API announcement类别。
The best way to stay apprised of updates on these plans is to subscribe to our API Announcements category on Discourse.

我们建议现在依赖OCSP服务的任何人尽快开始结束这种依赖的过程。
We recommend that anyone relying on OCSP services today start the process of ending that reliance as soon as possible.

如果您使用Let 's Encrypt证书来保护非浏览器通信(如VPN)，则如果证书不包含OCSP URL，则应确保您的软件正常运行。
If you use Let’s Encrypt certificates to secure non-browser communications such as a VPN, you should ensure that your software operates correctly if certificates contain no OCSP URL.

幸运的是，大多数OCSP实现“打开失败”，这意味着无法获取OCSP响应不会破坏系统。
Fortunately, most OCSP implementations “fail open” which means that an inability to fetch an OCSP response will not break the system.

互联网安全研究小组(ISRG)是Let’s Encrypt、Prossimo和Divvi Up的上级组织。
Internet Security Research Group (ISRG) is the parent organization of Let’s Encrypt, Prossimo, and Divvi Up.

ISRG是一家501(c)(3)非营利组织。
ISRG is a 501(c)(3) nonprofit.

如果你想支持我们的工作，请考虑参与，捐赠，或鼓励你的公司成为赞助商。
If you’d like to support our work, please consider getting involved, donating, or encouraging your company to become a sponsor.