2023 年 11月,网络安全解决方案提供商 Check Point® 软件技术有限公司(纳斯达克股票代码:CHKP)的威胁情报部门 Check Point Research (CPR) 发布了其《2023 年第三季度品牌网络钓鱼报告》。该报告重点介绍了 2023 年 7 月、8 月和 9 月网络犯罪分子在企图窃取个人信息或支付凭证时最常冒充的品牌。
上个季度,美国跨国零售公司沃尔玛成为网络钓鱼攻击中最常被冒充的品牌,在所有网络钓鱼尝试中占比 39%,排名较前一季度(第六位)大幅提升。科技巨头 Microsoft 位居第二,在此类攻击尝试中占比 14%,跨国金融服务公司富国银行位居第三,占比 8%。值得注意的是,全球第二大支付处理公司万事达卡首次跻身前十,排名第九。
Check Point 软件技术公司数据事业部经理 Omer Dembinsky 表示:“网络钓鱼仍然是最肆虐的攻击类型之一,零售、技术和银行业的许多品牌都已成为被冒充的对象。人工智能的广泛应用也加大了辨别合法电子邮件和欺诈性电子邮件的难度。”
在打开或接触来自知名公司的电子邮件时,用户必须保持警惕,务必检查发件人地址和消息准确性,在确保安全之前,切勿点击电子邮件中提供的链接。如果企业发现有人冒用其名义实施网络钓鱼攻击活动,应通过经过验证的渠道通知客户,并针对潜在威胁发出警告。
在品牌网络钓鱼攻击中,犯罪分子试图使用类似于真实网站的域名或 URL 和网页设计来模仿知名品牌的官方网站。指向虚假网站的链接可通过电子邮件或文本消息发送给目标个人,并在 Web 浏览期间重定向用户,或可能从欺诈性移动应用进行触发。虚假网站通常包含一个表单,以窃取用户凭证、付款明细或其他个人信息。
主要网络钓鱼品牌
以下是 2023 年第三季度按照在网络钓鱼攻击中的总出现率进行排名的十大最常被冒充的品牌:
亚马逊钓鱼电子邮件 — 虚假订单确认诈骗
这封冒充亚马逊品牌的欺诈性电子邮件声称有订单需要确认,并要求收件人点击订单号链接。它使用主题行“您在 Amazon.com 上的订单”来制造紧迫感,并提供了一个与亚马逊无关的恶意链接:it\.support\.swift-ness.com(目前已停用)。该邮件要求收件人查看订单状态或进行更改,并通过显示订单详情来提高可信度。
LinkedIn 网络钓鱼电子邮件 — 虚假业务消息诈骗
2023 年 8 月,我们发现了一封冒充 LinkedIn 的网络钓鱼电子邮件,其实际发件地址为“giacomini@napa\.fr”,但声称来自“LinkedIn”。
该电子邮件的主题行是“您有来自____的 8 条新业务消息”(图 1),随附一条简短的消息,告知收件人这 8 条新业务消息来自同一个人,并且此人自称是销售经理。
该欺诈性消息旨在诱骗收件人相信他们在 LinkedIn 平台上有未读消息,但要阅读这些消息就需要点击恶意链接:online\.cornection1\.shop(图 2),进而误入一个旨在窃取用户凭证的虚假 Microsoft 登录页面。
好文章,需要你的鼓励
Liquid AI发布了新一代视觉语言基础模型LFM2-VL,专为智能手机、笔记本电脑和嵌入式系统等设备高效部署而设计。该模型基于独特的LIV系统架构,GPU推理速度比同类模型快2倍,同时保持竞争性能。提供450M和1.6B两个版本,支持512×512原生分辨率图像处理,采用模块化架构结合语言模型和视觉编码器。模型已在Hugging Face平台开源发布。
AIM Intelligence联合多所知名大学揭示了音频AI系统的重大安全漏洞,开发出名为WhisperInject的攻击方法。这种攻击能让看似无害的音频指令操控AI生成危险内容,成功率超过86%,完全绕过现有安全机制。研究暴露了多模态AI系统的系统性安全风险,对全球数十亿智能设备构成潜在威胁。
阿里团队推出首个AI物理推理综合测试平台DeepPHY,通过六个物理环境全面评估视觉语言模型的物理推理能力。研究发现即使最先进的AI模型在物理预测和控制方面仍远落后于人类,揭示了描述性知识与程序性控制间的根本脱节,为AI技术发展指明了重要方向。
新加坡国立大学研究团队系统梳理了视觉强化学习领域的最新进展,涵盖超过200项代表性工作。研究将该领域归纳为四大方向:多模态大语言模型、视觉生成、统一模型框架和视觉-语言-动作模型,分析了从RLHF到可验证奖励范式的政策优化策略演进,并识别出样本效率、泛化能力和安全部署等关键挑战,为这一快速发展的交叉学科提供了完整的技术地图。