周报

  1. 数字证书供应商 DigiCert 收购电子邮件安全供应商 Valimail. Valimail 创立之初主要提供 DMARC 托管服务, 后来业务扩展到 BIMI, 而这部分业务也直接和 DigiCert 的数字证书业务有重合. [1]
  2. 网络安全研究员 Radware 披露一个被命名为 ShadowLeak 的 ChatGPT 0-Click 漏洞, 攻击者通过 HTML 电子邮件设置样式将恶意提示词设置为与背景同色且极小的字号使得人类用户无法直接阅读, 一旦 AI 代理被要求分析这些邮件(通过 Gmail 连接器等)就会被注入其中预设的恶意提示词, 进而被攻击者操控执行下一步攻击动作. [2]
  3. iCloud 日历日程邀请被发现滥用活动, 滥用者在 iCloud 日历中写入伪装为 PayPal 发票邮件的内容然后将日程发送给了目标受害者, iCloud 的自动化邮件就会将这封含有恶意内容的日程邀请直接发送到被邀请的目标受害者收件箱中. 由于是间接使用的 Apple 的官方发信服务器, 这将会绕过绝大多数的电子邮件安全网关. [3]

注释

  1. DigiCert Acquires Valimail | DigiCert ↩︎

  2. ShadowLeak Zero-Click Flaw Leaks Gmail Data via OpenAI ChatGPT Deep Research Agent ↩︎

  3. iCloud Calendar abused to send phishing emails from Apple’s servers ↩︎

许可协议

本文采用 署名-非商业性使用-相同方式共享 4.0 国际 许可协议,转载请注明出处。

分享文章

快来参与讨论吧~