双11反诈指南：警惕退款理赔与百万保障新骗局

一个名为Scattered LAPSUS$ Hunters(SLH)的新型网络犯罪联盟近期浮出水面,整合了Scattered Spider、ShinyHunters和LAPSUS$三个臭名昭著的威胁组织。

2025年8月8日,SLH首个Telegram频道上线。尽管遭遇至少16次封禁,该组织仍持续重建其存在,展现出强大的适应性。BreachForums今年倒闭后,SLH迅速填补权力真空,向下属成员提供品牌"租赁"服务,利用其恶名在勒索谈判中施压受害者。该组织通过Telegram发布攻击证据、实施人肉搜索并组织骚扰行动,同时宣称正在开发"Sh1nySp1d3r Ransomware",但分析人员尚未发现实际部署证据。

11月4日,苹果公司正式发布公告,伴随iOS 26.2和OS 26.2开发者测试版同步推出了一系列新型API接口与沙盒测试工具,旨在协助开发者有效应对将于2026年1月1日正式生效的得克萨斯州SB2420法案。该法案明确规定,未成年用户在下载应用程序时必须完成年龄验证流程并获得家长或监护人的明确授权。尽管苹果积极提供技术支持工具,但公司对此类法规可能引发的隐私安全风险表达了深切担忧,认为其可能迫使企业在用户仅为获取基础应用服务时就需收集敏感个人信息。

Google发布《2026年网络安全预测》报告，指出到2026年，威胁行为者将广泛采用AI实施网络攻击，使攻击速度更快、范围更广、效果更佳，如通过prompt injection攻击企业AI系统，利用AI进行语音克隆实施网络钓鱼。同时，攻击者还将结合数据盗窃与勒索，利用零日漏洞开展大规模数据窃取。此外，虚拟基础设施也成攻击目标。面对威胁，防御者也在利用AI强化防御，安全分析师角色将转变，专注战略分析与关键验证，由AI处理常规任务。企业需重视AI威胁，投资防御能力与安全运营模型。

2025年10月，网络威胁显著升级。一方面，钓鱼攻击手法愈发复杂，利用谷歌、Figma、ClickUp等合法平台，通过多步攻击链条，诱骗用户输入凭证，实施账户接管与数据窃取，如谷歌 Careers 仿冒、Figma 微软主题钓鱼及 ClickUp 滥用等，其中 TyKit 钓鱼工具影响广泛。另一方面，勒索软件LockBit 5.0成为跨平台威胁，攻击范围从Windows扩展到Linux和VMware ESXi，增强了加密能力。安全团队需采取如沙箱分析、实施MFA、监控可疑域名等措施来应对。

GreyNoise Intelligence分析师报告显示,伴随加密货币价格的持续飙升,针对PHP及其框架的漏洞利用攻击呈现协同激增态势,攻击者正抢抓"高利润窗口期"大规模部署加密货币挖矿程序。

最活跃的攻击利用ThinkPHP框架本地文件包含漏洞(CVE-2022-47945)、PHP CGI漏洞(CVE-2012-1823)以及PHP CVE-2024-4577,自2025年第三季度末以来均呈现陡峭增长曲线。值得注意的是,即便是ThinkPHP代码执行(CVE-2019-9082)和PHPUnit远程代码执行等遗留漏洞,每日仍记录50至150次攻击尝试。

GreyNoise指出,加密货币挖矿凭借其隐蔽性与规模化优势已演变为"商品化犯罪"。PHP因支撑约75%的网站而成为持续性攻击目标,被利用漏洞的时间跨度长达十余年(2012-2024),深刻印证了"旧漏洞不因时间流逝而消亡"这一核心安全问题。

"双11"促销期间,北京警方接连破获多起新型电信网络诈骗案件,揭示出两类高发诈骗模式值得消费者警惕。

网购退款理赔类诈骗呈现典型四步套路:诈骗分子在电商平台开设店铺,故意发送劣质商品或错发商品,待消费者投诉后主动联系并以"售后理赔"为由诱导添加私人微信,脱离平台监管,最后通过"刷单返利"等利诱手段以及"账号冻结""法律追责"等恐吓方式实施诈骗。北京张女士因购买的电动搅蒜机存在质量问题联系商家,被拉入"商家群"参与刷单任务,最终被骗5万余元。

警方提示防范要点:消费者应坚守"四不原则"——不脱离官方平台私下沟通、不轻信高额赔偿承诺、不下载非官方软件、不向陌生账户转账。收到快递异常短信时,务必通过官方渠道核实,切勿回拨短信附带电话或下载

法国《解放报》近日披露,卢浮宫长期存在严重的网络安全隐患。2014年法国国家网络安全局的审计报告显示,卢浮宫视频监控系统服务器密码仅设置为"louvre",而博物馆使用的泰雷兹集团安保程序密码也仅为"thales"。该安保程序开发于2003年,早在2019年就已终止维护合同。

2025年初,巴黎警察局启动新一轮安防审计,参与审计的警长Vincent Anéro于10月29日在参议院听证会上表示,博物馆信息系统"亟须现代化改造",安防漏洞持续存在。他强调卢浮宫管理层完全清楚问题所在,整个安保系统都需要从根本上重新审视和改造。这一持续十年的安全隐患凸显了文化遗产保护领域对网络安全重视程度的不足。

中国支付清算协会针对免密支付业务安全隐患发布倡议，要求支付服务主体与用户共同强化安全管理。倡议明确，支付机构需规范授权流程，禁止默认开通免密支付，充分保障用户知情权与选择权；针对老年人等群体，应以显著方式提示风险并审慎开通功能。同时，需严格审核商户资质，设置差异化交易限额，通过大数据监测异常交易并拦截风险；建立高效投诉与账户关闭机制，保障用户权益。对用户而言，需启用双重验证、定期更换密码，警惕公共设备支付风险，主动检查免密签约状态并及时关停异常账户。协会强调，行业需持续监测舆情，用户应提升风险识别能力，通过双向协作筑牢支付安全防线。

谷歌研究揭示,威胁行为者正日益利用人工智能驱动的恶意软件实施网络攻击,其中俄罗斯军方借助此类技术针对乌克兰关键基础设施发动攻势。

具体而言,基于谷歌开源Gemini AI开发的PromptFlux能够实时调整其行为模式以规避安全防护措施;而依托Hugging Face AI社区构建的PromptSteal则被俄罗斯情报机构部署用于渗透乌克兰实体目标。鉴于此,各相关方亟需强化网络安全防护体系建设。

网络安全研究人员披露了影响OpenAI ChatGPT的一系列新漏洞，攻击者可利用这些漏洞在用户不知情的情况下窃取个人信息、记忆和聊天历史。Tenable公司在GPT-4o和GPT-5模型中发现了7个漏洞和攻击技术，OpenAI已修复部分问题。

这些漏洞使AI系统暴露于间接提示注入攻击之下，攻击者可操纵大语言模型(LLM)的预期行为，诱使其执行恶意操作。主要漏洞包括：通过可信网站的浏览上下文进行间接提示注入、搜索上下文中的零点击注入攻击、单击提示注入、安全机制绕过、对话注入技术、恶意内容隐藏技术以及记忆注入技术。

信息来源：人民网 国家计算机网络应急技术处理协调中心 国家信息安全漏洞库 今日头条 360威胁情报中心 中科汇能GT攻防实验室 安全牛 E安全 安全客 NOSEC安全讯息平台 火绒安全 亚信安全 奇安信威胁情报中心 MACFEESy mantec白帽汇安全研究院 安全帮  卡巴斯基 安全内参 安全学习那些事 安全圈 黑客新闻 蚁景网安实验室 IT之家IT资讯 黑客新闻国外 天际友盟

本文版权归原作者所有，如有侵权请联系我们及时删除