- 综合排序
- 最热优先
- 最新优先
- 来自专栏公共互联网反网络钓鱼(APCN)
全球网络钓鱼动态简报(2025年9月)
合规公司也应加强内部员工的反钓鱼培训,防范此类新型社会工程攻击。AI驱动的钓鱼攻击正在重创英国企业 英国金融科技行业报告显示,AI技术正被广泛用于自动化钓鱼攻击,极大提升了攻击的规模和精准度。 AI推动80%钓鱼攻击,印度损失超1.12亿美元 最新安全报告指出,AI技术已成为全球钓鱼攻击的核心驱动力,约80%的钓鱼邮件由AI生成。 部分钓鱼站点还具备SSL证书,进一步提升了伪装效果。DNS监测数据显示,此类钓鱼域名激增,攻击波及多家知名券商。专家建议金融机构加强DNS监控,及时封禁可疑域名,并向客户普及防钓鱼知识。 Okta警告:生成式AI推动钓鱼网站激增,企业面临新威胁Okta公司警告称,生成式人工智能(AI)技术正被网络犯罪分子广泛用于快速搭建钓鱼网站,极大提升了钓鱼攻击的规模与隐蔽性。 二维码钓鱼攻击激增,用户扫码需警惕信息泄露风险安全研究机构警告称,利用二维码发动的钓鱼攻击正迅速增长。
30310编辑于 2025-10-09 - 来自专栏渗透测试专栏
渗透测试信息收集技巧(9)——网站克隆和钓鱼邮件
克隆方法 钓鱼邮件 钓鱼邮件指利用伪装的电邮,欺骗收件人将账号、口令等信息回复给指定的接收者;或引导收件人连接到特制的网页,这些网页通常会伪装成和真实网站一样,如银行或理财的网页,令登录者信以为真,输入信用卡或银行卡号码
51720编辑于 2024-09-27 - 来自专栏FreeBuf
历史上代价最高昂的9次网络钓鱼攻击
如今,网络钓鱼攻击正在不断激增,攻击者利用了大规模转向远程工作和云存储的最新漏洞和机会。而沦为网络钓鱼攻击的牺牲品经常会给个人和企业带来巨大的经济损失。 以下是历史上最具经济破坏性的9起网络钓鱼攻击。 Facebook和谷歌 2013年至2015年间,Facebook和谷歌成为虚假发票骗局的受害者,损失超过1亿美元。 这些电子邮件信息还包含了一些钓鱼网站的链接,旨在窃取员工的登录凭据。 结语 尽管大公司始终是网络钓鱼的主要目标,但动辄影响数百万个人用户的网络钓鱼骗局已愈发常见。这些攻击不仅会导致直接的经济损失,还会导致生产力和数据损失、声誉损害和客户流失等长期后果。 网络钓鱼攻击的成本已经在重塑个人和公司运营和管理风险的方式。为了防御网络钓鱼攻击,采取保护措施至关重要,包括使用强密码、实现多因素身份验证以及向员工提供安全意识培训。
47820编辑于 2023-08-08 - 来自专栏c语言与cpp编程
历史上代价最高昂的9次网络钓鱼攻击
如今,网络钓鱼攻击正在不断激增,攻击者利用了大规模转向远程工作和云存储的最新漏洞和机会。而沦为网络钓鱼攻击的牺牲品经常会给个人和企业带来巨大的经济损失。 以下是历史上最具经济破坏性的9起网络钓鱼攻击。 Facebook和谷歌 2013年至2015年间,Facebook和谷歌成为虚假发票骗局的受害者,损失超过1亿美元。 这些电子邮件信息还包含了一些钓鱼网站的链接,旨在窃取员工的登录凭据。 结语 尽管大公司始终是网络钓鱼的主要目标,但动辄影响数百万个人用户的网络钓鱼骗局已愈发常见。这些攻击不仅会导致直接的经济损失,还会导致生产力和数据损失、声誉损害和客户流失等长期后果。 网络钓鱼攻击的成本已经在重塑个人和公司运营和管理风险的方式。为了防御网络钓鱼攻击,采取保护措施至关重要,包括使用强密码、实现多因素身份验证以及向员工提供安全意识培训。
83920编辑于 2023-08-10 - 来自专栏网络安全攻防
社工钓鱼之WIFI钓鱼
文章前言 本篇文章我们主要介绍常见的几种WIFI钓鱼方法与具体的实现 钓鱼实践 WiFi-Pumpkin 框架介绍 WiFi-Pumpkin是一款专用于无线环境渗透测试的框架,该工具可以伪造AP以完成中间人攻击 框架使用 Step 1:执行以下命令启动框架(笔者发现目前PyQt4已经不再支持了,所以这里借用之前师傅们的几张图片) sudo wifi-pumpkin Step 2:点击界面中的设置,设置钓鱼 AP和密码,点击start即可开始 Step 3:点击start后我们可以看到钓鱼WiFi已经开启,连接钓鱼wifi在home界面可以看到当前连接的设备 Step 4:点击images-cap选项卡即可看到对方访问网站的图片 Wifiphisher还可用于针对连接的客户端发起受害者定制的网络钓鱼攻击,以获取凭据(例如,来自第三方登录页面或WPA/WPA2预共享密钥)或用恶意软件感染受害者站点。 ,同时密码被保存到本地 之后原先的钓鱼AP消失: 之后可以正常访问网络: 文末小结 本篇文章主要给大家介绍了如何通过WIFI钓鱼的方式来捕获用户的通讯数据包,以及钓取WIFI的真实密码信息,在真实场景中需要结合使用
2.9K10编辑于 2023-08-10 - 来自专栏OneMoreThink的专栏
应急靶场(9):【玄机】流量特征分析-小王公司收到的钓鱼邮件
flag{f17dc5b1c30c512137e62993d1df9b2f} 三、zip 压缩包通过加载其中的 javascript 文件到另一个域名下载后续恶意程序, 该域名是什么?
56810编辑于 2024-10-15 - 来自专栏网络安全攻防
社工钓鱼之HTA钓鱼
钓鱼实践 Step 1:新增listener Step 2:选择"Attacks—>packages—>HTML application" Step 2:选择Powershell,之后点击"Generate 3:保存载荷 Step 4:之后以邮件或者社交软件(例如:QQ、微信)的方式发送给第三方用户,并诱导其进行点击操作 PS:本来想使用ChatGPT来生成一段关于诱导用户点开evil.hta文件的钓鱼话术 Step 5:成功返回会话 文末小结 本篇文章我们介绍了HTA钓鱼的基本流程,在实战中可以通过社交软件或者邮件的方式发送给受害者用户进行执行并获取权限
1.1K30编辑于 2023-05-12 - 来自专栏网络安全攻防
社工钓鱼之LNK钓鱼
文章前言 LNK文件是一种用于指向其他文件的特殊文件,这些文件通常也被称为快捷方式文件,通常它以快捷方式放在硬盘上,以方便使用者快速的调用, LNK钓鱼主要将图标伪装成正常图标,但是目标会执行Shell 命令 钓鱼实践 Step 1:点击Attacks—>Web Drive by—>Scripted Web Delivery,在弹出的对话框中将type类型设置为Powershell,然后单击launch Shortcut.Save() Step 4:运行Al1ex.ps1,之后生成LNK文件 Step 5:后将Al1ex.lnk发送给受害者,诱导用户运行 Step 6:之后成功获得Shell 文末小结 基于LNK文件的钓鱼方式总体而言利用难度相对有点大 ,一般都需要通过钓鱼邮件的方式(例如:投递压缩包并附加Link文件)进行利用,不过作为一种后渗透阶段权限维持的方式也还是挺不错的,但是就得看点击率了~
2.4K20编辑于 2023-05-12 - 来自专栏网络安全攻防
社工钓鱼之Office钓鱼(上)
并发现攻击者能够利用代码注入方式下载并执行一份包含PowerShell指令的Visual Basic脚本,黑客在Offcie文档中嵌入新的Moniker对象,利用的是.net库漏洞,在Office文档中加载执行远程的恶意.NET代码 社工钓鱼 Windows 10 Version 1607 for x64-based Systems Windows 10 Version 1607 for 32-bit Systems 漏洞概述 2021年9月 > Step 2:启动服务托管载荷 python3 exploit.py host 80 Step 4:将out文件夹下的word发送给受害者用户点击,之后成功弹出计算器 请求记录如下: 社工钓鱼 4:使用MSF监听载荷 Step 5:启动服务托管载荷 Step 6:将恶意docx文件发送给受害者主机并诱导其打开 请求记录: 之后成功获取到Shell 文末小结 本篇文章对Office钓鱼进行了简单介绍 ,从上面可以发现在Office钓鱼中大部分情况都需要用户进行交互,例如:点击启用宏或者更新数据文档,这无疑会增加用户的怀疑,在社工钓鱼中药特别注意
92330编辑于 2023-05-26 - 来自专栏网络安全攻防
社工钓鱼之Office钓鱼(下)
A0 之后模拟用户打开Excel文件: 发现载荷成功执行: 钓鱼实践 这里使用MSF框架来实施攻击: use exploit/windows/misc/hta_server msf exploit
78720编辑于 2023-05-26 - 来自专栏网络安全攻防
社工钓鱼之Office钓鱼(中)
文章前言 本篇文章我们主要介绍Office在钓鱼中常见的应用与技巧 钓鱼实践 Office Macro 实验说明 Office宏,译自英文单词Macro,宏是微软公司为其OFFICE软件包设计的一个特殊功能 在本小节中,我们的目的是构造一个存在恶意宏代码的简历文件并将其投放给HR,通过钓鱼控制目标主机 实验步骤 Step 1:首先准备一份简历 Step 2:使用CS生成恶意宏代码 Step 3:弹出界面选择 raw=true Step 4:接下来将刚才解压生成的文件压缩回去: Step 5:将生成的压缩文件改名为后缀名为docx的文件 Step 5:将生成的恶意文件用邮箱钓鱼、qq或微信文件发送给受害者 Pack 2 Microsoft Office 2013 Service Pack 1 Microsoft Office 2016 简易测试 Step 1:准备一份简历,之后调用快捷键"CTRL+F9" 填写域代码并保存 {DDEAUTO C:\\windows\\system32\\cmd.exe "/k notepad.exe} Step 2:之后重新打开 钓鱼实践 Step 1:使用msfvenom
1K30编辑于 2023-05-26 - 来自专栏FreeBuf
钓鱼攻击工具包Angler Exploit Kit已感染超过9w网站
FreeBuf百科 Angler Exploit Kit(EK)是一个钓鱼攻击工具包,它具有高度混淆性、侦察特性(其包含了尝试检测杀毒软件和虚拟机的代码)、反侦察性(其对网络传输的Payload进行加密以绕过 主要发现 1、目前已经检测到了超过9万个网站受到了Angler工具的影响。其中包含大量热门网站。
1.1K50发布于 2018-02-07 - 来自专栏信安之路
网页表单钓鱼以外的钓鱼方法
——(中)沃兹基索德 钓鱼式攻击 顾名思义,是一种如同钓鱼一样的攻击,是一种安逸的很的攻击方式。 搜狗百科是给出来比较容易理解的网络钓鱼的定义。 网络钓鱼 (Phishing)攻击者利用欺骗性的电子邮件和伪造的 Web 站点来进行网络诈骗活动,受骗者往往会泄露自己的私人资料,如信用卡号、银行卡账户、身份证号等内容。 可以看出,钓鱼攻击并不是一种完全随缘的攻击方法。关键在于是否成功伪装成了受害者信任的目标。
80700发布于 2018-08-08 - 来自专栏HACK学习
钓鱼攻击:Gophish邮件钓鱼平台搭建
当然,在实际钓鱼中,不可能使用自己的qq邮箱去发送钓鱼邮件。 在Campaigns中,可以新建钓鱼事件,并选择编辑好的钓鱼邮件模板,钓鱼页面,通过配置好的发件邮箱,将钓鱼邮件发送给目标用户组内的所有用户。 当URL填写了http://主机IP/,并成功创建了当前的钓鱼事件后,Gophish会在主机的81端口部署当前钓鱼事件所选定的钓鱼页面,并在发送的钓鱼邮件里,将其中所有的超链接都替换成部署在81端口的钓鱼页面的 那么经过以上设定,从9:00到9:04共有5个发件点,这5个发件点被50封邮件平分,即每个发件点将发送10封,也就是每分钟仅发送10封。 details/107485116 http://blog.leanote.com/post/snowming/a6b66097bccd https://www.jianshu.com/p/8f5c5ef25db9
21.4K32发布于 2021-03-03 - 来自专栏Khan安全团队
flash钓鱼
准备钓鱼套件https://github.com/r00tSe7en/Flash-Pop 美化版 https://github.com/hackxc/xss_flash 普通版 1.生成木马并捆绑flash 的安装程序 将木马与flash安装程序捆绑一起 木马解压位置:windows的自启动目录,这个百度钓鱼钓时间长就知道了。 5、修改一下version.js文件中的链接,为自己的钓鱼页面。(主要与XSS直接配合使用) 6、我比较喜欢用宝塔,我们新建一个站点,填好域名,改为静态后,将源码放入对应的网站目录下。 没有服务器和域名怎么办 http://www.webweb.com/ 香港云可以白嫖 7、下面开始钓鱼 如果你想利用XSS钓鱼 可以使用src标签 构造payload:<scriptsrc="http 我们找一个存在XSS的网站,在存在异常的参数位置,输入构造的payload,点击确定后,就会跳转到我们<em>钓鱼</em>页面。 8、对方下载安装后,成功上线。
4.2K30发布于 2021-08-26 - 来自专栏黑客技术家园
Unicode钓鱼
各种高大上的金融操作暂且不论,这次主要侃侃事发源头——Unicode钓鱼。 二、有哪些姿势“钓鱼” 先说下钓鱼,钓鱼就是三步走:准备诱饵,放到水里,坐等鱼上钩。 对比学习下网站钓鱼: 【准备诱饵】 开发仿冒的网站域名,欺骗用户。举几个例子就明白了: 1、链接欺骗 经常会看到这样的钓鱼信息:恭喜您的淘宝账号中奖了,奖品是Iphone X一台! 三、此次Unicode钓鱼是怎样实现的 也许大家会奇怪,币安上不是有二次认证(手机短信或谷歌认证),那是怎么绕过的,答案是自动交易程序。 四、Unicode钓鱼模拟攻击 下面将通过仿冒 ape.com这个网站和其域名,来模拟Unicode钓鱼。 但是当整个钓鱼网站的IDN域都是由一种外文编码组成,例如上文的◤аре.com◢,火狐浏览器就识别不了了。。。 其它浏览器会出现这个问题吗?
1.9K50编辑于 2023-03-25 - 来自专栏网络安全攻防
社工钓鱼之钓鱼网站
文章前言 在社工钓鱼过程中,网站钓鱼是一种较为常见的钓鱼方式,比较常见的思路有以下几种: 第一种:通过购买服务器以及域名自我架设钓鱼网站,之后投放钓鱼网站页面给受害者并诱导其进行认证来窃取用户凭证,更有甚者可以在获取到网站的源码的情况下克隆一个类似的网站 Google钓鱼 实验说明 在这里我们的目的是通过钓鱼的方式来窃取用户的Google登录凭证信息,攻击者可以通过setookit来完成一系列的钓鱼操作,其中关于网站IP的隐藏方式可以通过短连接的方式来进行欺骗 Access Point Attack Vector //无线接入点攻击 8) QRCode Generator Attack Vector //二维码攻击 9) http://192.168.174.129 Step 8:成功捕获用户的账户密码 Step 9:之后登录页面消失直接跳转至Google界面还需要进行二次认证 第三方站点 实验说明 在这里我们需要对第三方站点进行克隆操作 实验说明 伪造一个QQ空间登录页面,之后诱导用户通过移动端访问并进行身份认证,之后完成钓鱼 实验步骤 钓鱼页面 尝试登录: 之后跳转到正常登录页面: 此时我们的账号密码已在手: 文末小结 本篇文章主要介绍了钓鱼网站的几种示例
2.4K10编辑于 2022-06-23 - 来自专栏ConsT27的笔记
钓鱼技术
文件是从不安全的位置打开的 文件被文件块阻止 文件验证失败 文件是使用“在受保护的视图中打开”选项打开的 文件是从其他人的 OneDrive 存储中打开的 XLM / Macro 4.0 (excel宏钓鱼 但在某些情况下打开此类excel文件需手动点击启用宏才能正常钓鱼。 (前提是在信任中心设置开启所有宏) 当然,一般情况下打开此类文件会显示 启用内容后就会弹计算器了 Word DDE 在word文件里,输入 ctrl+F9,进入到域代码编辑。
3.9K30编辑于 2022-02-11 - 来自专栏腾讯安全
钓鱼简史
这正是最初阶段的网络钓鱼的手法,钓鱼者伪装身份骗取用户的信息。在获得了用户账户后,钓鱼者可以利用受害人的账户进行诈欺或者发送垃圾邮件。 网络钓鱼做嫁衣,向关键基础设施进行勒索攻击 最初的“钓鱼”,只是想通过盗窃的方式获取用户信息,以此牟利,但“盗窃”往往不会百分百奏效。为了获取更大的“利益”,网络钓鱼开始与勒索软件捆绑在一起。 尽管WannaCry勒索病毒并非使用钓鱼邮件,而是通过漏洞攻击蠕虫。但是这个案例给了网络钓鱼“新的启发”。 已知网络钓鱼的13种常见类型: 第1类:网络钓鱼:普通群发电子邮件 第2类:鱼叉式网络钓鱼:追求特定目标 第3类:捕鲸:追逐大家伙 第4类:商业电子邮件诈骗:冒充领导 第5类:克隆钓鱼:来自真实的复制 第6类:语音网络钓鱼:通过电话进行网上诈骗 第7类:短信欺诈:通过短信钓鱼 第8类:雪靴:传播骚扰讯息 第9类:灯笼式钓鱼:飞蛾扑火的欺骗 第10类:域名欺骗 :相仿的域名 第11类:恶意孪生:假冒WiFi
1.1K30编辑于 2022-05-05 - 来自专栏默认分类
爆锤钓鱼
import requests user1 = 0 while 1<2: `user1 = user1 + 1 url = "http://vsssw222.6660606.cn/wap/login.php" data = { "u": f"{user1}", "p": "qq2962283762", "step": "1" }` resp = requests.post(url,data=data) resp.encoding = 'utf-8' print("执行了
48130编辑于 2023-02-14
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号