index_new5.html
../../../zaker_core/zaker_tpl_static/wap/tpl_guoji1.html
![]()
本期网络安全资讯聚焦多重议题。在“双11”之际,警方揭示了“退款理赔”和“快递异常”等新型诈骗手法,并提供防范要点。加密货币价格飙升刺激了PHP漏洞的利用,攻击者大规模部署挖矿程序。ChatGPT曝出多项漏洞,可能导致用户数据泄露。谷歌警告AI将使网络威胁在2026年变得更快更智能。此外,中国支付清算协会发布关于加强“免密支付”业务安全管理的倡议,旨在与用户共同筑牢支付安全防线。卢浮宫十年未修复的安保漏洞和某平台因未按规定发布漏洞信息被处罚的事件也凸显了网络安全管理的重要性。
🛡️ **“双11”购物季警惕新型诈骗**:北京警方通报了两种高发诈骗模式——“退款理赔”和“快递异常”。“退款理赔”诈骗通过诱导用户脱离平台监管,利用虚假刷单或恐吓手段实施诈骗;“快递异常”诈骗则通过虚假短信诱导用户回拨非官方电话,进而通过木马软件窃取银行信息。警方提示消费者坚守“四不原则”:不私下沟通、不轻信赔偿、不下载非官方软件、不向陌生账户转账,并强调通过官方渠道核实信息。
💰 **加密货币热潮下的PHP漏洞利用与挖矿攻击**:随着加密货币价格飙升,针对PHP及其框架的漏洞利用攻击显著增加。GreyNoise报告指出,攻击者大规模部署加密货币挖矿程序,利用ThinkPHP、PHP CGI等多个漏洞,甚至包括遗留多年的旧漏洞。这些攻击活动显示出协调性,攻击IP主要来自云服务提供商,凸显了加密货币挖矿已成为“商品化犯罪”,PHP作为广泛使用的技术,其旧漏洞依然构成持续威胁。
🔒 **AI驱动的网络威胁升级与支付安全倡议**:谷歌警告,到2026年,AI将使网络威胁更快、更智能,如通过prompt injection攻击企业AI系统和利用AI语音克隆进行网络钓鱼。同时,ChatGPT曝出多项漏洞,可能导致用户记忆和聊天记录泄露。在此背景下,中国支付清算协会发布“免密支付”安全管理倡议,要求支付机构规范流程、保护用户知情权,并引导用户加强自身安全意识,共同构建支付安全防线。
🏛️ **文化遗产面临的网络安全挑战**:法国卢浮宫存在长达十年的网络安全隐患,视频监控系统密码简陋,且仍在使用已停止官方支持的老旧操作系统,审计报告多次指出问题却未得到有效解决。这凸显了文化遗产保护领域在网络安全重视程度上的不足,以及系统现代化改造的紧迫性。
2025-11-06 15:51 北京
牛览网络安全全球资讯,洞察行业发展前沿态势!
新闻速览 “双11”反诈指南:警惕“退款理赔”与“百万保障”新骗局有关单位未按规定发布漏洞信息,网警依法予以处罚加密货币价格飙升引发PHP漏洞利用潮,攻击者大规模部署挖矿程序ChatGPT曝7大漏洞:黑客可窃取用户记忆和聊天记录10月钓鱼与勒索软件攻击激增,涉及TyKit及谷歌招聘骗局俄罗斯通过Gemini向乌克兰发动人工智能生成的恶意软件攻击谷歌警告:到2026年,人工智能使网络威胁更快更智能中国支付清算协会关于加强“免密支付”业务安全管理的倡议苹果推出新API助力开发者应对得州未成年人保护法案卢浮宫安保系统密码简陋引担忧,十年审计漏洞仍未修复三大网络犯罪组织合并成立Scattered LAPSUS$ Hunters联盟特别关注中国支付清算协会关于加强“免密支付”业务安全管理的倡议中国支付清算协会针对免密支付业务安全隐患发布倡议,要求支付服务主体与用户共同强化安全管理。倡议明确,支付机构需规范授权流程,禁止默认开通免密支付,充分保障用户知情权与选择权;针对老年人等群体,应以显著方式提示风险并审慎开通功能。同时,需严格审核商户资质,设置差异化交易限额,通过大数据监测异常交易并拦截风险;建立高效投诉与账户关闭机制,保障用户权益。对用户而言,需启用双重验证、定期更换密码,警惕公共设备支付风险,主动检查免密签约状态并及时关停异常账户。协会强调,行业需持续监测舆情,用户应提升风险识别能力,通过双向协作筑牢支付安全防线。原文链接:https://mp.weixin.qq.com/s/NmCEQjqeHwOgnKJSijrSpQ?scene=1&click_id=2热点观察“双11”反诈指南:警惕“退款理赔”与“百万保障”新骗局"双11"促销期间,北京警方接连破获多起新型电信网络诈骗案件,揭示出两类高发诈骗模式值得消费者警惕。网购退款理赔类诈骗呈现典型四步套路:诈骗分子在电商平台开设店铺,故意发送劣质商品或错发商品,待消费者投诉后主动联系并以"售后理赔"为由诱导添加私人微信,脱离平台监管,最后通过"刷单返利"等利诱手段以及"账号冻结""法律追责"等恐吓方式实施诈骗。北京张女士因购买的电动搅蒜机存在质量问题联系商家,被拉入"商家群"参与刷单任务,最终被骗5万余元。快递异常类诈骗则利用"双11"期间快递量激增的时机,通过发送虚假快递短信诱使受害者回拨非官方电话,随后虚构"百万保障"扣费制造恐慌,诱导下载具有屏幕共享功能的木马软件,远程窃取银行卡信息并实施转账。北京王女士因回拨短信中的电话,在诈骗分子远程指导下操作银行卡,20余万元被转走。**警方提示防范要点:**消费者应坚守"四不原则"——不脱离官方平台私下沟通、不轻信高额赔偿承诺、不下载非官方软件、不向陌生账户转账。收到快递异常短信时,务必通过官方渠道核实,切勿回拨短信附带电话或下载原文链接:https://mp.weixin.qq.com/s/SK-vBx8EdTfOtMRYJOqBVA加密货币价格飙升引发PHP漏洞利用潮,攻击者大规模部署挖矿程序GreyNoise Intelligence分析师报告显示,伴随加密货币价格的持续飙升,针对PHP及其框架的漏洞利用攻击呈现协同激增态势,攻击者正抢抓"高利润窗口期"大规模部署加密货币挖矿程序。根据GreyNoise最新网络遥测数据,2025年8月至10月期间,针对PHP及相关框架的攻击活动呈现显著上升趋势。监测系统捕获七种并行运行的攻击模式,8月至9月维持相对稳定水平,10月和11月则出现显著峰值。最活跃的攻击利用ThinkPHP框架本地文件包含漏洞(CVE-2022-47945)、PHP CGI漏洞(CVE-2012-1823)以及PHP CVE-2024-4577,自2025年第三季度末以来均呈现陡峭增长曲线。值得注意的是,即便是ThinkPHP代码执行(CVE-2019-9082)和PHPUnit远程代码执行等遗留漏洞,每日仍记录50至150次攻击尝试。网络拓扑分析揭示,这些攻击活动并非彼此独立,而是共享基础设施与工具链,显示出明确的协调特征。云服务提供商构成攻击IP来源的主体,其中Cloudflare(1,000个IP)、DigitalOcean(688个)、Google(536个)和Contabo(512个)位居前列。前21家组织约占全部攻击IP的三分之一,涵盖被入侵的客户虚拟机、配置不当的服务以及专门租用于大规模挖矿的基础设施。此次攻击浪潮与比特币价格突破11万美元、全球加密货币市值超越3.71万亿美元的时间节点高度吻合。GreyNoise指出,加密货币挖矿凭借其隐蔽性与规模化优势已演变为"商品化犯罪"。PHP因支撑约75%的网站而成为持续性攻击目标,被利用漏洞的时间跨度长达十余年(2012-2024),深刻印证了"旧漏洞不因时间流逝而消亡"这一核心安全问题。原文链接:https://securityonline.info/coordinated-cryptojacking-blitz-hackers-exploit-thinkphp-and-php-rce-flaws-to-maximize-mining-profit/10月钓鱼与勒索软件攻击激增,涉及TyKit及谷歌招聘骗局2025年10月,网络威胁显著升级。一方面,钓鱼攻击手法愈发复杂,利用谷歌、Figma、ClickUp等合法平台,通过多步攻击链条,诱骗用户输入凭证,实施账户接管与数据窃取,如谷歌 Careers 仿冒、Figma 微软主题钓鱼及 ClickUp 滥用等,其中 TyKit 钓鱼工具影响广泛。另一方面,勒索软件LockBit 5.0成为跨平台威胁,攻击范围从Windows扩展到Linux和VMware ESXi,增强了加密能力。安全团队需采取如沙箱分析、实施MFA、监控可疑域名等措施来应对。原文链接:https://cybersecuritynews.com/rise-in-phishing-and-ransomware-attacks/俄罗斯通过Gemini向乌克兰发动人工智能生成的恶意软件攻击谷歌研究揭示,威胁行为者正日益利用人工智能驱动的恶意软件实施网络攻击,其中俄罗斯军方借助此类技术针对乌克兰关键基础设施发动攻势。具体而言,基于谷歌开源Gemini AI开发的PromptFlux能够实时调整其行为模式以规避安全防护措施;而依托Hugging Face AI社区构建的PromptSteal则被俄罗斯情报机构部署用于渗透乌克兰实体目标。与此同时,移动终端与物联网领域亦面临严峻的安全挑战。Android设备遭受的恶意软件攻击呈现激增态势,超过236种恶意软件成功绕过谷歌应用商店的过滤机制,致使逾4200万台设备受到感染;而在物联网网络威胁中,超过40%与Mirai僵尸网络存在关联。鉴于此,各相关方亟需强化网络安全防护体系建设。原文链接:https://www.cybersecurity-insiders.com/google-research-confirms-russia-launching-ai-generated-malware-via-gemini-on-ukraine/安全事件有关单位未按规定发布漏洞信息,网警依法予以处罚2025年5月,公安网安部门在“护网—2025”专项工作中发现,某具有交互式信息发布功能的网络产品安全漏洞发现、收集平台掌握了某网络产品存在安全漏洞,但在网络产品提供者发布安全漏洞修补措施前,公开了该漏洞细节信息及利用该漏洞从事危害网络安全活动的程序和工具。公安机关依据《网络安全法》,对该平台运营者予以行政处罚,并责令整改。原文链接:https://mp.weixin.qq.com/s/YZmMyK3gdv5nDw2MR69Uvw?scene=1&click_id=1卢浮宫安保系统密码简陋引担忧,十年审计漏洞仍未修复法国《解放报》近日披露,卢浮宫长期存在严重的网络安全隐患。2014年法国国家网络安全局的审计报告显示,卢浮宫视频监控系统服务器密码仅设置为"louvre",而博物馆使用的泰雷兹集团安保程序密码也仅为"thales"。该安保程序开发于2003年,早在2019年就已终止维护合同。更令人担忧的是,卢浮宫仍在使用Windows 2000、Windows XP、Windows Server 2003等已停止官方支持的老旧操作系统。法国国家网络安全局当时指出卢浮宫安保网络存在巨大漏洞,敦促博物馆尽快修改密码并升级系统。然而,后续审计结果表明这些问题始终未得到有效解决。2015年10月和2017年的审计报告均显示相关安防缺陷依然存在。2025年初,巴黎警察局启动新一轮安防审计,参与审计的警长Vincent Anéro于10月29日在参议院听证会上表示,博物馆信息系统"亟须现代化改造",安防漏洞持续存在。他强调卢浮宫管理层完全清楚问题所在,整个安保系统都需要从根本上重新审视和改造。这一持续十年的安全隐患凸显了文化遗产保护领域对网络安全重视程度的不足。原文链接:https://mp.weixin.qq.com/s/sGfjmSDdhdh-A7FN7e7YLg?scene=1&click_id=4攻防技术ChatGPT曝7大漏洞:黑客可窃取用户记忆和聊天记录网络安全研究人员披露了影响OpenAI ChatGPT的一系列新漏洞,攻击者可利用这些漏洞在用户不知情的情况下窃取个人信息、记忆和聊天历史。Tenable公司在GPT-4o和GPT-5模型中发现了7个漏洞和攻击技术,OpenAI已修复部分问题。这些漏洞使AI系统暴露于间接提示注入攻击之下,攻击者可操纵大语言模型(LLM)的预期行为,诱使其执行恶意操作。主要漏洞包括:通过可信网站的浏览上下文进行间接提示注入、搜索上下文中的零点击注入攻击、单击提示注入、安全机制绕过、对话注入技术、恶意内容隐藏技术以及记忆注入技术。研究人员指出,提示注入是LLM工作方式的已知问题,短期内难以系统性修复。当AI聊天机器人连接外部工具和系统时,攻击面会进一步扩大。此外,Anthropic研究发现,仅需250个被污染文档即可成功对AI模型进行后门攻击,这使得投毒攻击比此前认为的更易实现。AI厂商应确保所有安全机制正常运行,以限制提示注入造成的潜在损害。原文链接:https://thehackernews.com/2025/11/researchers-find-chatgpt.html产业动态谷歌警告:到2026年,人工智能使网络威胁更快更智能Google发布《2026年网络安全预测》报告,指出到2026年,威胁行为者将广泛采用AI实施网络攻击,使攻击速度更快、范围更广、效果更佳,如通过prompt injection攻击企业AI系统,利用AI进行语音克隆实施网络钓鱼。同时,攻击者还将结合数据盗窃与勒索,利用零日漏洞开展大规模数据窃取。此外,虚拟基础设施也成攻击目标。面对威胁,防御者也在利用AI强化防御,安全分析师角色将转变,专注战略分析与关键验证,由AI处理常规任务。企业需重视AI威胁,投资防御能力与安全运营模型。原文链接:https://gbhackers.com/google-warns-ai/三大网络犯罪组织合并成立Scattered LAPSUS$ Hunters联盟一个名为Scattered LAPSUS$ Hunters(SLH)的新型网络犯罪联盟近期浮出水面,整合了Scattered Spider、ShinyHunters和LAPSUS$三个臭名昭著的威胁组织。Trustwave SpiderLabs威胁情报团队将其描述为提供勒索即服务(EaaS)的"联邦联盟",继承了The Com松散网络犯罪生态系统的运作特征。2025年8月8日,SLH首个Telegram频道上线。尽管遭遇至少16次封禁,该组织仍持续重建其存在,展现出强大的适应性。BreachForums今年倒闭后,SLH迅速填补权力真空,向下属成员提供品牌"租赁"服务,利用其恶名在勒索谈判中施压受害者。该组织通过Telegram发布攻击证据、实施人肉搜索并组织骚扰行动,同时宣称正在开发"Sh1nySp1d3r Ransomware",但分析人员尚未发现实际部署证据。Trustwave分析显示,SLH核心成员少于5人,关键人物包括协调者"shinycorp"、数据中间商"Alg0d"和漏洞开发者"Yukari/Cvsp"。该组织展现出成熟的入侵技术,擅长AI辅助语音钓鱼、权限提升和云环境数据窃取,其活动与CVE-2025-31324(SAP NetWeaver)和CVE-2025-61882(Oracle E-Business Suite)等漏洞利用存在关联。安全专家认为,SLH代表着资深攻击者的战略重组,标志着网络勒索进入以品牌影响力和持久战为武器的新阶段。原文链接:https://cyberpress.org/scattered-lapsus-hunters/新品发布苹果推出新API助力开发者应对得州未成年人保护法案11月4日,苹果公司正式发布公告,伴随iOS 26.2和OS 26.2开发者测试版同步推出了一系列新型API接口与沙盒测试工具,旨在协助开发者有效应对将于2026年1月1日正式生效的得克萨斯州SB2420法案。该法案明确规定,未成年用户在下载应用程序时必须完成年龄验证流程并获得家长或监护人的明确授权。尽管苹果积极提供技术支持工具,但公司对此类法规可能引发的隐私安全风险表达了深切担忧,认为其可能迫使企业在用户仅为获取基础应用服务时就需收集敏感个人信息。此次技术更新涵盖四项核心功能模块:其一为年龄分类信息API,可精准获取用户年龄档次划分及相应验证方式;其二为重大变更同意机制,开发者可通过API向家长发起授权请求,并对未获授权的功能实施访问限制;其三为家长撤销授权通知系统,App Store可向开发者提供实时反馈;其四为沙盒测试环境,全面支持开发者验证系统集成效果。苹果建议开发者尽快利用沙盒环境开展测试工作,待RC版本发布后及时提交更新版本。展望未来,苹果还将持续推出相关工具,以应对其他州份的类似立法要求。原文链接:https://mp.weixin.qq.com/s/r84kxll3hjrFgOTJMP_zCg?scene=1&click_id=3合作电话:18311333376
合作微信:aqniu001
投稿邮箱:editor@aqniu.com
阅读原文
跳转微信打开
