SIM 卡又出现新漏洞，可盗取用户短信和电话位置信息

SIM卡又出现新漏洞，可盗取用户短信和电话位置信息Ginno安全实验室已经详细介绍了这一新漏洞：WIBattack。该漏洞危及到一些SIM卡上的WIB（无线互联网浏览器）应用程序，以控制关键的电话功能。和早前出现的Simjacker一样，WIBattack也是通过短信方式感染手机。攻击短信会在没有启用关键安全功能的SIM卡上运行指令。一旦成功，入侵者可以发送信息，启动呼叫，并将受害的网络浏览器指向特定的站点，显示文本和发送位置信息。

Cloudflare：成功应对史上最大规模 DDoS 攻击，每秒 1720 万次请求

Cloudflare：成功应对史上最大规模DDoS攻击，每秒1720万次请求Neowin消息，网络安全和基础设施服务公司Cloudflare于8月19日表示，成功应对一起有史以来最大规模的DDoS攻击。在本次攻击中，峰值可以达到每秒1720万次HTTPS请求（rps）。Cloudflare公司对自己的表现十分满意，得益于其自动的边缘DDoS保护系统，这种规模攻击的影响被大大缓解。Cloudflare目前尚不清楚本次攻击的幕后黑手是谁。

开发者现需通过短信验证身份才能更新Steam游戏

开发者现需通过短信验证身份才能更新Steam游戏GameDiscoverCo新闻通讯的SimonCarless透露了新安全措施的消息。Carless发布了一张来自Valve的信息截图，该信息称Valve已提醒那些账户被黑客入侵的开发者。Valve通过一篇博文详细介绍了其新的安全措施，其中详细介绍了新的短信验证，明确指出开发者只有在向默认分支推送版本时才需要验证身份，以及游戏发行时需要验证身份。博文还进一步介绍了开发人员可以使用各种工具来部署构建，如steamcmd和SetAppBuildLive，以及开发人员将如何通过这些工具验证自己的身份。...PC版：https://www.cnbeta.com.tw/articles/soft/1389983.htm手机版：https://m.cnbeta.com.tw/view/1389983.htm

Smart警示客户严防假冒链接和钓鱼短信！随着诈骗威胁的日益加剧，Smart通信公司强烈提醒广大客户，在点击不明来源的短信链接时

Smart警示客户严防假冒链接和钓鱼短信！随着诈骗威胁的日益加剧，Smart通信公司强烈提醒广大客户，在点击不明来源的短信链接时需格外谨慎，即使这些链接外观看似来自官方渠道。Smart强调，其官方且唯一真实的网站地址为https://smart.com.ph/corporate，客户在收到任何包含链接的短信时，务必仔细核对网址，任何与官方地址不符的链接都应视为可疑。PLDT及Smart的第一副总裁兼企业传播集团主管CathyYang指出，诈骗分子常利用与真实网址极其相似的虚假网址进行欺诈活动。最近，就有不法分子利用“smart-com-ph”这一假冒网站地址发布虚假奖励计划，诱导受害者泄露个人敏感信息。为保护用户免受此类欺诈行为的侵害，Smart已迅速采取行动，从网络中封杀了这一网络钓鱼域名及其类似变种。同时，公司还提醒用户，积分只能通过官方Smart应用程序进行管理和使用，切勿在未经官方确认的平台上进行任何操作。今年前四个月，PLDT集团已成功拦截超过1600万条诈骗短信，并屏蔽了333,000多个涉及诈骗和网络钓鱼的电话号码

Smart警示客户严防假冒链接和钓鱼短信！随着诈骗威胁的日益加剧，Smart通信公司强烈提醒广大客户，在点击不明来源的短信链接时

Smart警示客户严防假冒链接和钓鱼短信！随着诈骗威胁的日益加剧，Smart通信公司强烈提醒广大客户，在点击不明来源的短信链接时需格外谨慎，即使这些链接外观看似来自官方渠道。Smart强调，其官方且唯一真实的网站地址为https://smart.com.ph/corporate客户在收到任何包含链接的短信时，务必仔细核对网址，任何与官方地址不符的链接都应视为可疑。PLDT及Smart的第一副总裁兼企业传播集团主管CathyYang指出，诈骗分子常利用与真实网址极其相似的虚假网址进行欺诈活动。最近，就有不法分子利用“smart-com-ph”这一假冒网站地址发布虚假奖励计划，诱导受害者泄露个人敏感信息。为保护用户免受此类欺诈行为的侵害，Smart已迅速采取行动，从网络中封杀了这一网络钓鱼域名及其类似变种。同时，公司还提醒用户，积分只能通过官方Smart应用程序进行管理和使用，切勿在未经官方确认的平台上进行任何操作。今年前四个月，PLDT集团已成功拦截超过1600万条诈骗短信，并屏蔽了333,000多个涉及诈骗和网络钓鱼的电话号码。

安全研究人员发现一场巨大的网络钓鱼活动 针对超过130家公司

安全研究人员发现一场巨大的网络钓鱼活动针对超过130家公司安全研究人员发现，超过130个组织，包括Twilio、DoorDash和Signal，都有可能被黑客入侵，这是被安全研究人员称为"0ktapus"的长达数月的网络钓鱼活动一部分。根据网络安全机构Group-IB的一份报告，属于近10000人的登录凭证被攻击者盗取，他们模仿了流行的单点登录服务Okta。目标被发送短信，将他们转到一个钓鱼网站。正如Group-IB的报告所说，从受害者的角度来看，这个钓鱼网站看起来很有说服力，因为它与他们习惯看到的认证页面非常相似。受害者被要求提供他们的用户名、密码和一个双因素认证代码。这些信息随后被发送给攻击者。尽管该活动很成功，但Group-IB的分析表明，攻击者有点缺乏经验。有趣的是，Group-IB的分析表明，攻击者在某种程度上是没有经验的，对网络钓鱼工具包的分析显示，它的配置很差，它的开发方式提供了提取被盗凭证进行进一步分析的能力。但无论是否缺乏经验，这次攻击的规模是巨大的，Group-IB检测到该活动所针对的169个独特域名。据了解，0ktapus活动始于2022年3月左右，到目前为止，大约有9931个登录凭证被盗。攻击者把他们的网撒得很开，目标是多个行业，包括金融、游戏和电信业。Group-IB引用的目标域名（但未确认被盗）包括微软、Twitter、AT&T、VerizonWireless、Coinbase、BestBuy、T-Mobile、RiotGames和EpicGames。现金似乎至少是攻击的动机之一，在被攻击的名单中看到金融公司，让我们认为攻击者也在试图偷钱。此外，一些目标公司提供访问加密资产和市场的机会，而其他公司则开发投资工具。Group-IB警告说，我们很可能在一段时间内不会知道这次攻击的全部规模。为了防范类似的攻击，Group-IB提供了通常的建议：一定要检查你要输入登录信息的任何网站的URL；对从未知来源收到的URL持怀疑态度；为了增加保护，你可以使用"不可伪造的"双因素安全密钥，如YubiKey。PC版：https://www.cnbeta.com/articles/soft/1309189.htm手机版：https://m.cnbeta.com/view/1309189.htm