网络安全周刊 #11 — 您需要了解的威胁、趋势与工具(2025 版)
Source: Dev.to
1️⃣ Deepfake Voice Scams Surge Across the U.S.
网络犯罪分子正在使用 AI 生成的语音克隆 冒充 CEO、亲属和理财顾问。
受害者报告了 大额未授权转账,尤其是缺乏多层身份验证的小型企业。
关键要点
绝不要仅凭语音通话批准电汇。请通过第二渠道(邮件、短信或现场验证码)进行验证。
2️⃣ Google Chrome Issues Emergency Patch
Google 为影响数百万用户的高危 零日漏洞 推出了 紧急更新。
如果你在使用 Chrome:
立即更新 → 设置 > 帮助 > 关于 Google Chrome。
该漏洞允许攻击者远程执行代码,可能会接管设备。
3️⃣ Passwordless Authentication Adoption Hits New Record
最新报告显示,61 % 的美国企业 已经采用某种形式的 无密码登录,包括 Passkey 和生物识别。
新兴威胁
- 基于设备的身份验证备份
- 安全性不足的生物识别系统
- 能欺骗面部识别的 AI 绕过攻击
建议
使用可信供应商(Microsoft、Google、Okta),并启用 设备绑定密钥 + 生物识别活体检测。
4️⃣ New Malware: “GhostRabbit” Targets Freelancers
一种轻量级恶意软件 GhostRabbit 正通过 Upwork、LinkedIn 和 Fiverr 上的假“工作机会”传播。
它的功能
- 窃取登录 Cookie
- 捕获剪贴板数据
- 将文件直接发送到攻击者服务器
- 在不被发现的情况下注入键盘记录器
自我防护
- ❌ 不要下载客户提供的 ZIP 或 EXE 文件
- ❌ 不要打开“作品集查看器”
- ✔ 对未知客户使用虚拟机或浏览器隔离
- ✔ 尽可能使用 Passkey
5️⃣ AI‑Generated Phishing Pages Are Now Undetectable
黑客利用设计 AI 工具创建 像素级完美 的钓鱼站点,仿冒真实的银行和 SaaS 平台。
钓鱼套件自动生成
- 假 SSL 证书
- 优化的移动布局
- 区域特定版本
- 即时凭证提取
提示
始终逐字符检查 URL。即使是 “googIe.com”(大写 i)这样细微的变化也可能导致登录信息被盗。
6️⃣ Microsoft Warns of Token Theft Attacks
OAuth 令牌被盗的情况正在快速上升,使攻击者能够绕过强身份验证。
被盗令牌可让攻击者
- 读取邮件
- 访问云文件
- 修改日历
- 无需密码登录
最佳防护
- 使用条件访问策略
- 监控异常的“跨时区登录”
- 启用自动令牌撤销
7️⃣ Ransomware Groups Now Using Passive AI Monitoring
新型勒索软件组织部署 AI 机器人,悄悄监控网络数周后再发动攻击。他们会收集:
- 员工行为
- 高峰使用时间
- 备份周期
- VPN 活动
- 配置错误的服务器
他们会在业务最脆弱的时刻——通常是周日深夜——发动攻击。
8️⃣ Tool of the Week: “Passkeys Directory”
一个不断增长的资源,展示哪些网站已经支持 Passkey:
对自由职业者、技术博主、注重安全的团队以及采用无密码登录的企业非常有帮助。
9️⃣ Tip of the Week: Check If Your Email Is Breached
使用以下可信工具检查你的邮箱是否出现在泄露数据库中:
如果你的邮箱出现在多个泄露事件中:
- 切换到 Passkey
- 删除旧账号
- 为剩余账号启用 2FA
- 定期监控登录提醒
🔟 Quick Stats (U.S. Cybersecurity 2025)
- 74 % 的泄露涉及凭证滥用
- 43 % 的钓鱼攻击现在使用 AI
- Passkey 采用率在 2024‑2025 年间增长 3 倍
- 48 % 的小型企业每年面临至少一次网络事件
- 语音深度伪造本年度增长 700 %
保持警惕——网络犯罪的演变速度前所未有。
🛡️ Final Thoughts: Stay Safe, Stay Smart
AI 正在改变网络安全——对防御者和攻击者都是如此。
保护自己的措施:
- ✔ 转向无密码身份验证
- ✔ 不要轻信未经请求的下载
- ✔ 核实金融沟通内容
- ✔ 每周更新应用程序
- ✔ 将备份离线保存
网络安全不再是可选项,而是生存之道。