当前位置：首页 > article >正文

全球网络钓鱼动态简报（2026年5月）

article 2026/5/10 12:53:17

针对菲律宾银行用户的网络钓鱼活动“Phisles”技术演变与升级自2024年初以来一场名为“Phisles”的高度适应性网络钓鱼活动持续针对菲律宾的主要银行用户其攻击手段和策略在两年间不断演变升级。Group-IB公司的安全研究人员发现该活动最初通过发送伪造的交易警报邮件诱骗受害者近期则转变为冒充银行发送可疑设备登录或联系信息更新的通知以制造紧迫感。攻击者利用从地下渠道购买的已泄露邮箱账户Combolists发送钓鱼邮件增加了邮件的迷惑性和送达率。为了规避安全网关的检测攻击者大量滥用Google Business、AMP CDN、Cloudflare Workers等高信誉度的合法服务来托管或重定向其恶意链接。更值得警惕的是攻击者成功入侵并劫持了一家菲律宾教育机构的合法域名用于托管其钓鱼设施极大地增强了其攻击活动的隐蔽性和可信度。整个攻击流程旨在实时窃取用户的网上银行凭证和一次性密码OTP并通过Telegram机器人自动化地将这些信息回传最终实现未经授权的资金转账给受害者造成直接的经济损失。据不完全统计已有超过400名用户受到影响。新型网络钓鱼即服务平台“EvilTokens”滥用设备代码流程攻击Microsoft 365用户近期一种名为“EvilTokens”的新型网络钓鱼即服务PhaaS平台被发现正被积极用于针对全球范围内的Microsoft 365用户该平台的核心攻击手法是滥用微软合法的“设备代码授权”流程device code authentication flow。这一流程原本设计用于智能电视、打印机等输入受限的设备但攻击者通过社会工程手段诱骗受害者在微软官方登录页面输入一个由攻击者生成的代码。一旦用户输入代码并完成后续的认证步骤包括MFA攻击者便能成功窃取到一个有效期长达90天的访问令牌从而绕过MFA保护获得对账户的持久访问权限。安全公司Huntress的报告指出超过340个组织已受此影响。该攻击活动的一个显著特点是其恶意流量大量来自合法的云平台服务商Railway.com攻击者利用该平台易于部署、自带安全证书和干净IP的特性作为其令牌收割引擎使得微软的风险评分系统难以识别。攻击者使用的钓鱼诱饵也呈现多样化包括伪造的施工投标、DocuSign文档、语音邮件通知等增加了防御难度。网络犯罪分子利用无代码平台Bubble创建隐蔽Web应用发动针对微软账户的凭证钓鱼攻击卡巴斯基的安全研究人员近期发现一种新型网络钓鱼技术攻击者利用流行的无代码应用开发平台Bubble.io来生成和托管恶意Web应用其主要目标是窃取Microsoft 365等微软服务的用户凭证。这种攻击手法的隐蔽性在于攻击者通过Bubble平台创建的恶意应用拥有复杂的JavaScript捆绑包和大量使用Shadow DOM的结构这使得传统的静态和自动化安全分析工具难以检测。这些应用被设计为重定向器将受害者导向一个模仿微软官方登录页面的钓鱼网站。一旦用户在假冒页面输入其用户名和密码这些凭证就会被立即发送给攻击者用于后续的账户入侵活动。由于这些恶意应用托管在Bubble的合法域名*.bubble.io上它们天然地获得了高信誉度更容易绕过邮件安全网关和浏览器的安全过滤。研究人员警告这种滥用合法“无代码”或“低代码”平台进行恶意活动的技术可能会被更广泛地集成到网络钓鱼即服务PhaaS平台中使攻击者能够以更低的成本和技术门槛发起更难被察觉的攻击并可能与绕过多因素认证MFA的AiTM攻击相结合。法国税务申报季临近当局警告防范新型网络钓鱼诈骗随着2026年度法国个人所得税申报季于4月9日开启法国当局向公众发出警告警惕激增的各类网络钓鱼诈骗。每年报税季不法分子都会通过发送虚假电子邮件等方式冒充税务或其他政府机构试图窃取公民的银行信息或直接骗取钱财。2026年出现的一种新型骗局是诈骗者发送邮件声称作为“第三方债务扣押管理程序”saisie administrative à tiers détenteur, SATD的一部分收件人的银行账户已被当局冻结并扣押资金。邮件中还威胁除非收件人立即点击链接支付一笔“罚款”例如从343欧元增至675欧元否则金额将大幅上涨。尽管SATD是真实存在的法律程序但该邮件及其链接的网站均为伪造。法国内政部已通过社交媒体将此定性为“网络钓鱼”并提醒公众删除此类邮件切勿与之互动。法国公共财政总局DGFiP重申官方绝不会通过电子邮件要求用户在未登录其官方认证空间的情况下点击链接以获取退税或通报税务审查结果。当局建议民众应始终直接登录官方税务网站impots.gouv.fr来核实任何待处理的支付或通知切勿点击任何可疑邮件中的链接。针对TikTok商业账户的Adversary-in-the-Middle (AiTM)网络钓鱼攻击出现新浪潮安全公司Push Security近期发现了一波新型的Adversary-in-the-Middle (AiTM)网络钓鱼攻击其主要目标是TikTok for Business账户。攻击者在极短时间内注册了大量使用相似命名规则如welcome.careers*.com的钓鱼页面并将它们托管在Cloudflare之后以增加追踪和封锁的难度。这些钓鱼页面的内容主要模仿TikTok或Google的风格。虽然初始的传播方式尚未完全确认但研究人员推测可能与之前通过动态生成的电子邮件和克隆的Google招聘页面进行的攻击活动相似。当用户点击恶意链接后会先被重定向到一个合法的Google云存储站点然后加载一个包含Cloudflare Turnstile人机验证的页面以阻挡安全机器人的分析。最终用户会被导向一个AiTM钓鱼页面在要求填写基本信息后呈现一个窃取登录凭证的恶意登录界面。攻击者之所以将目标对准TikTok商业账户是因为这些账户通常由企业的营销团队管理控制着广告投放和预算具有很高的商业价值。此外由于许多用户会选择“使用Google登录”TikTok一旦成功钓鱼攻击者可能同时获得用户的TikTok和Google账户权限进而可能利用Google Ad Manager账户进行更大范围的恶意广告诈骗活动。荷兰计划推出“在线驾照”课程帮助老年人抵御网络钓鱼为应对日益增多的针对老年人的网络诈骗荷兰正考虑一项创新举措为65岁以上的老年人引入一项“在线技能证书”俗称“在线驾照”。该计划的背景是尽管老年人越来越熟练地使用智能手机但他们也更容易成为网络钓鱼和虚假银行客服等诈骗手法的受害者。根据该计划超过65岁的公民在申请新的手机合同时需要证明自己具备识别网络钓鱼企图和虚假帮助台查询等基本网络安全技能。对于已经拥有手机和网络连接的老年人则需要在续签合同或升级手机时提供该证书。该证书课程将通过安全的在线链接提供并通过Digid荷兰的数字身份认证系统进行访问费用为10欧元。为了防止滥用例如由孙辈代为完成课程市政官员还将进行抽查。该计划旨在在保护老年人与避免过度干涉之间取得平衡。尽管在试点项目中曾遭遇挫折但政府仍在推进此项法规的制定以期提高老年群体的网络安全防范意识和能力。知名在线邀请平台Punchbowl遭仿冒新一轮网络钓鱼骗局在社区传播近期美国纽约州皮克斯基尔Peekskill社区出现一种新型网络钓鱼骗局不法分子通过模仿广受欢迎的在线派对邀请网站“Punchbowl”发送虚假的活动邀请邮件旨在窃取收件人的登录凭证和个人信息。该骗局的运作方式是受害者会收到一封看似来自家人、朋友或同事的Punchbowl派对邀请邮件邮件中包含一个恶意链接。点击该链接后受害者会被引导至一个伪造的登录页面一旦输入自己的邮箱账户和密码其账户便会被黑客劫持。随后黑客会利用被盗账户向该账户的所有联系人发送新一轮的虚假邀请邮件形成恶性循环。已有多名当地居民报告称自己成为受害者其个人邮箱在点击虚假邀请后被用于发送大量垃圾邮件。Punchbowl官方和当地警察部门已发布警告提醒公众注意识别此类诈骗。官方指出所有合法的Punchbowl邮件都应来自特定的官方邮箱地址如mailmail.punchbowl.com并且在主流邮件客户端中通常会显示Punchbowl的红色标志和蓝色认证标记。官方强烈建议用户不要点击任何可疑邮件中的链接并直接将可疑邮件转发至官方进行举报。大规模网络钓鱼活动利用虚假VS Code安全警报瞄准GitHub开发者近期一个大规模且高度自动化的网络钓鱼活动正通过GitHub平台扩散其主要目标是开发者群体。攻击者利用GitHub的“Discussions”功能在数千个代码仓库中发布看似紧急的Visual Studio Code (VS Code)安全警报。这些警报信息使用耸人听闻的标题并引用虚构的CVE漏洞编号谎称特定版本的VS Code存在严重漏洞敦促用户立即通过外部链接下载所谓的“更新版本”。这些消息通常来自新建的或不活跃的GitHub账户并且会同时标记大量的开发者通过制造紧迫感和利用GitHub作为可信平台的心理诱使用户采取行动。由于Discussions的通知会通过邮件发送给关注者进一步扩大了攻击的覆盖面和可信度。研究人员发现攻击者提供的外部链接通常托管在Google Drive等可信服务上并不会直接下载恶意软件而是将用户重定向到一个由攻击者控制的JavaScript页面。该页面会首先对访问者进行画像分析收集其时区、浏览器、操作系统等信息以过滤掉安全研究人员和机器人然后才可能向真实受害者提供下一步的钓鱼页面或恶意载荷。韩国金融监管机构将加强对网络钓鱼及“钱骡”账户的打击力度韩国金融服务委员会FSC近期宣布将与相关机构合作加大对新型网络钓鱼犯罪及“钱骡”银行账户的打击力度。作为该计划的一部分FSC在4月份成立了一个由金融监督服务局和多家金融公司组成的联合工作组。目标是到9月底前推动所有金融机构建立能够有效侦测此类网络犯罪并共享相关信息的系统。此外监管机构还将推动相关法律的修订以便能够更迅速地响应此类犯罪活动包括快速冻结涉嫌用于欺诈的账户和追回经济损失。此举是对近期涉及韩国公民在东南亚地区被卷入网络诈骗活动包括被绑架和拘禁等严重事件的回应总统李在明已多次呼吁采取更强有力的措施来应对网络钓鱼诈骗。这项全面的打击计划旨在构建一个更严密的金融安全网络保护公民免受日益复杂的在线金融犯罪的侵害。Casbaneiro银行木马持续活跃通过网络钓鱼攻击拉丁美洲银行用户Casbaneiro也被称为Metamorfo或Ponteiro是一种主要针对拉丁美洲金融机构和加密货币服务的银行木马自2018年以来其攻击活动一直活跃。ESET和Sygnia等安全研究公司指出该木马通过大规模的垃圾邮件活动和鱼叉式网络钓鱼攻击传播目标是窃取金融凭证。攻击者通常利用社会工程学手法如伪造的弹窗、虚假软件更新通知或伪造的银行交易警报诱骗受害者输入敏感信息。Casbaneiro具有典型的拉丁美洲银行木马后门功能包括截屏、模拟鼠标和键盘操作、记录按键、下载和执行更新、限制访问特定网站以及下载并执行其他可执行文件。值得注意的是它还会监控剪贴板内容一旦发现加密货币钱包地址就会将其替换为攻击者的钱包地址从而窃取加密货币。该木马利用多种加密算法来混淆字符串并将其命令与控制C2服务器地址隐藏在各种地方包括虚假DNS条目、Google Docs上存储的在线文档或模仿合法机构的虚假网站中甚至滥用YouTube视频描述来隐藏C2信息。尽管该威胁持续多年攻击者仍在不断更新其感染链和持久化技术例如近期观察到使用UAC绕过技术和Rust编写的下载器以逃避检测。NFL和NBA球员成为复杂网络钓鱼诈骗受害者嫌犯被控欺诈与性贩运一名名叫Kwamaine Jerell Ford的佐治亚州男子被指控策划了一场复杂的网络钓鱼骗局专门针对NFL和NBA球员该骗局最终演变为大规模欺诈和性贩运。美国司法部于2026年3月16日公布的起诉书显示Ford通过多重手段获取了受害球员的Apple账户登录凭证。他冒充知名的成人影星声称要向运动员发送露骨视频同时还伪装成Apple客服代表通过短信诱骗受害者提供用户名、密码和多因素认证码。一旦成功控制受害者的Apple账户Ford便能获取信用卡和借记卡信息并利用这些信息进行数千美元的个人消费。据称Ford在2019年就曾因类似的计算机欺诈和严重身份盗窃罪被定罪当时他曾入侵100多个Apple账户窃取近32.5万美元。此次检方指控Ford的犯罪活动进一步升级在2021年5月他冒充成人影星诱骗并胁迫一名女性受害者与多名职业运动员进行商业性行为并从中获利而性行为过程往往在运动员不知情或未同意的情况下被秘密录制。FBI官员表示Ford显然没有从之前的定罪中吸取教训反而升级了其犯罪活动除了身份盗窃和金钱诈骗还涉及胁迫和性贩运。Ford被控九项电信诈骗罪、七项计算机诈骗罪、一项访问设备诈骗罪、四项严重身份盗窃罪和一项性贩运罪。荷兰ISP试点反网络钓鱼盾牌取得显著成效成功阻止逾200万次恶意网站访问荷兰的互联网服务提供商ISP与国家网络安全中心NCSC联合开展的一项反网络钓鱼盾牌试点项目取得了显著成功。该项目自2025年7月启动旨在通过DNS过滤技术在用户访问可疑的钓鱼或欺诈网站时自动进行拦截。在试点期间约20万互联网用户共计被阻止了210万次对恶意网站的访问尝试相当于平均每位参与者被阻止了10次。此次试点的成功促使荷兰司法部、警方、NCSC、荷兰银行协会以及电信行业组织NLconnect决定将该盾牌结构化并由NCSC进行管理。KPN、Kabelnoord、SNLLR和TriNed等ISP参与了此项合作。该盾牌的工作原理是NCSC持续收集和更新包含约16万个恶意域名的“拒绝列表”并每15分钟向参与的ISP提供。ISP在获得客户明确选择同意opt-in后通过DNS过滤来阻止对这些网站的访问。由于去年约17%的荷兰互联网用户曾遭受网络犯罪且90%的网络攻击始于钓鱼信息这项措施被认为是保护公民免受日益增长的在线威胁的必要手段。后续将致力于扩大该盾牌的覆盖范围并争取更多ISP的加入。供稿北京中科易安科技有限公司公共互联网反网络钓鱼成员单位编辑芦笛公共互联网反网络钓鱼工作组

全球网络钓鱼动态简报（2026年5月）

相关文章：

全球网络钓鱼动态简报（2026年5月）

基于MCP协议构建AI代理工具服务器：从原理到Rust实战

【卷卷观察】菲尔兹奖得主亲测GPT-5.5 Pro：一小时产出博士级数学研究，我开始慌了

别再只盯着圈图了！用iTOL和MEGA搞定进化树美化与解读的保姆级指南

Windows鼠标效率革命：X-Mouse Controls终极配置指南

5步精通鸣潮智能助手：彻底解放双手的终极自动化解决方案

AI技能化跨平台社交发布：一次编写，处处发布的自动化解决方案

手把手教你为网件R7900P/R7960P挂载U盘，解决JFFS分区不足50M的软件中心问题

Android车载人工智能系统开发实践

2026 AI大会餐饮应急预案（含突发算力中断、多模态点餐接口熔断、生成式菜单幻觉修正SOP）

2026年5月10日60秒读懂世界：财经科技、社会民生与国际局势速览

终极指南：如何用RPFM革命性工具高效开发全面战争模组

ChatGPT 2023年1月更新解读：模型表现、事实性、数学能力与停止生成按钮

Vivado携手Modelsim：跨越版本鸿沟的仿真实战指南

OpenClaw Guardian：为AI Agent部署提供实时监控、成本控制与安全防护

从零上手：现代数字示波器核心功能实战指南

从被动挨打到主动出击：用upstream_check_module为你的微服务网关加上“心跳监护仪”

为团队内部工具配置Taotoken以实现安全可控的AI能力调用

基于LangChain.js与AI的思维导图自动生成：开源项目MindGeniusAI深度实践

终极键盘输入训练指南：如何用Qwerty Learner提升英语打字效率300%

独立开发者工具箱：Next.js、Supabase、AI应用与增长实战指南

聊了一晚上，更确信 AI 离取代人还差很远

SITS签售冷知识：92%读者没注意到的封面暗码，3步解锁作者私藏学习路径图（限时开放至大会闭幕倒计时48小时）

苹果设备Windows连接终极解决方案：一键安装USB和网络共享驱动

终极跨平台体验：如何在Windows上实现macOS三指拖动的高效解决方案？

AI驱动企业级IPAM/DNS管理：MCP协议与SolidServer集成实践

基于Python与arXiv API构建自动化论文订阅与管理工作流

AI与自动化如何重塑有机化学研究：从合成规划到实验执行

终极B站成分检测器：3秒看穿评论区用户真实身份！

AI OS：从聊天到执行的AI辅助开发范式转变