2022 年 7 月 25 日,全球领先网络安全解决方案提供商 Check Point ® 软件技术有限公司(纳斯达克股票代码:CHKP)的威胁情报部门 Check Point Research (CPR) 发布了其《2022 年第二季度网络钓鱼品牌报告》。该报告重点介绍了本季度网络犯罪分子在企图窃取个人信息或支付凭证时最常模仿的品牌。
在第一季度首次进入最常被利用的品牌排行榜后,社交媒体平台 LinkedIn 仍是模仿最多的品牌。尽管其占比略有回落(从第一季度占所有网络钓鱼攻击的 52% 下降至第二季度的 45%),但从数字来看,社交媒体平台用户仍面临持续的风险,令人担忧。社交网络通常是被模仿最多的类别,其次是技术行业(在本季度取代了航运业,位列第二)。
在被利用的知名品牌中,Microsoft 的增长最引人注目,占所有品牌网络钓鱼攻击的 13%(与上一季度相比增加了一倍以上),将 DHL 挤到了第三位(占 12%)。进入前十榜单的一些新品牌包括阿迪达斯、Adobe 和汇丰银行,占比都是较低的个位数,研究人员将在第三季度对这些品牌保持密切关注。
Microsoft 相关诈骗活动的增加对个人和企业均构成威胁。一旦有人掌握了用户的帐户登录详细信息,他们便能访问使用该帐户的所有应用(例如 Teams 和 SharePoint),而且还会入侵 Outlook 电子邮件帐户,带来巨大风险。报告着重举例说明了 Outlook 网络钓鱼电子邮件的伎俩。该邮件以“[所需采取的行动] 最后一次提醒 - 立即验证您的 OWA 帐户”为主题,诱骗用户访问欺诈性 Outlook 网页,并要求受害者输入其登录凭证。
LinkedIn 网络钓鱼攻击活动模仿了专业社交媒体平台的沟通风格,发送主题为:“您本周在搜索结果中出现 8 次”或“您有一条新消息”或“我希望通过 LinkedIn 与您开展业务”的恶意电子邮件。尽管看似来自 LinkedIn,但他们使用的电子邮件地址与该品牌截然不同。
同时,随着在线购物盛行,第二季度 DHL 航运公司被仿冒并在所有网络钓鱼攻击中占比 12% 也就不足为奇。该报告特别提到了一种与物流跟踪相关的网络钓鱼诈骗。其主题为“收货通知”,企图引诱消费者点击恶意链接。
Check Point 软件技术公司数据研究事业部经理 Omer Dembinsky 表示:“网络钓鱼电子邮件是所有黑客的重要攻击武器,因为其部署速度快,并能够以相对较低的成本针对数百万用户发起攻击。此类电子邮件可让网络犯罪分子冒充可信品牌,利用给用户造成的安全错觉来窃取个人或商业信息,进而骗取钱财。”
“犯罪分子将利用任何具有足够影响力和消费者信任度的品牌。因此,阿迪达斯、Adobe 和汇丰银行均首次进入前十榜单,说明黑客正扩大其活动范围。他们利用我们对这些品牌的信任和人类的‘交易’需求发动攻击。黑客持续利用冒充品牌的网络钓鱼是有原因的,那就是这种手法常能得逞。因此,消费者需要谨慎行事,并注意虚假电子邮件的蛛丝马迹,例如语法不当、拼写错误或域名异常。如有任何疑问,请前往该品牌自己的网站,而非点击任何链接。”
网络钓鱼攻击不仅利用了我们对熟悉品牌的信任感,而且还利用了人类的情感“漏洞”,例如担心错过折扣活动。由此产生的紧迫感使得消费者在没有首先检查电子邮件是否来自相关品牌的情况下,匆忙单击链接。这可能导致他们无意中下载恶意软件或泄露宝贵的个人身份信息,致使犯罪分子趁机访问其整个网络环境,并造成潜在的经济损失。
2022 年第二季度最常被利用的网络钓鱼攻击品牌
以下是按照网络钓鱼攻击中的总出现率进行排名的最常被利用的品牌:
好文章,需要你的鼓励
DeepResearchGym是一个创新的开源评估框架,专为深度研究系统设计,旨在解决当前依赖商业搜索API带来的透明度和可重复性挑战。该系统由卡内基梅隆大学研究团队开发,结合了基于ClueWeb22和FineWeb大型网络语料库的可重复搜索API与严格的评估协议。实验表明,使用DeepResearchGym的系统性能与使用商业API相当,且在评估指标间保持一致性。人类评估进一步证实了自动评估协议与人类偏好的一致性,验证了该框架评估深度研究系统的有效性。
这项研究介绍了FinTagging,首个面向大型语言模型的全面财务信息提取与结构化基准测试。不同于传统方法,它将XBRL标记分解为数值识别和概念链接两个子任务,能同时处理文本和表格数据。在零样本测试中,DeepSeek-V3和GPT-4o表现最佳,但在细粒度概念对齐方面仍面临挑战,揭示了当前大语言模型在自动化XBRL标记领域的局限性,为金融AI发展提供了新方向。
这项研究介绍了SweEval,一个新型基准测试,用于评估大型语言模型在企业环境中处理脏话的能力。研究团队从Oracle AI等多家机构的专家创建了一个包含八种语言的测试集,模拟不同语调和上下文的真实场景。实验结果显示,LLM在英语中较少使用脏话,但在印地语等低资源语言中更易受影响。研究还发现较大模型通常表现更好,且多语言模型如Llama系列在处理不当提示方面优于其他模型。这项工作对企业采用AI技术时的安全考量提供了重要参考。
这项研究提出了"VeriFree"——一种不需要验证器的方法,可以增强大型语言模型(LLM)的通用推理能力。传统方法如DeepSeek-R1-Zero需要验证答案正确性,限制了其在数学和编程以外领域的应用。VeriFree巧妙地计算正确答案在模型生成的推理过程后出现的概率,作为评估和训练信号。实验表明,这种方法不仅能匹配甚至超越基于验证器的方法,还大幅降低了计算资源需求,同时消除了"奖励黑客"问题。这一突破将有助于开发出在化学、医疗、法律等广泛领域具有更强推理能力的AI系统。