
My friend’s email startup finally got traction. Turns out it was a phisher. My friend’s email startup finally got traction. Turns out it was a phisher. A friend of mine, Endi, has been building …
Nguồn: https://medium.com/@team_50644/my-friends-email-startup-finally-got-traction-turns-out-it-was-a-phisher-66da7146f95d. 8sync News chỉ tóm tắt và dẫn link; bản quyền nội dung thuộc tác giả và nguồn gốc.
Đọc tin ở đây, luyện code, học theo lộ trình và luyện IELTS trên các sản phẩm anh em — tất cả kết nối với nhau trong hệ sinh thái 8 Sync Dev.
Cổng chính của hệ sinh thái: giới thiệu sản phẩm, blog và bảng giá trọn bộ.
Khám pháHọc theo lộ trình với video, quiz chấm tự động, certificate và mentor đang làm nghề.
Xem khóa họcLuyện thuật toán chấm tự động 7 ngôn ngữ, chạy code ngay trên trình duyệt.
Một chiến dịch phishing giả mạo hơn 30 thương hiệu lớn như Adobe, Netflix, Coca-Cola và OpenAI nhằm nhắm vào chuyên gia marketing qua email phỏng vấn việc làm giả. Kẻ tấn công lợi dụng các nền tảng hợp pháp như PeopleForce và Salesforce Marketing Cloud để tạo chuỗi redirect lồng nhau, dẫn nạn nhân đến trang landing độc hại, nơi sử dụng kỹ thuật browser-in-the-browser (BitB) để hiển thị popup đăng nhập Google giả mạo, đánh cắp thông tin tài khoản. Chiến dịch đã hoạt động ít nhất 5 tháng, sử dụng tên và ảnh thật của nhà tuyển dụng để tăng độ tin cậy.
Lập trình viên nên đọc bài này để hiểu cách các cuộc tấn công phishing hiện đại sử dụng kỹ thuật browser-in-the-browser và chaining redirect để trộm mật khẩu Google, từ đó nâng cao kiến thức bảo mật cho ứng dụng web và hệ thống của mình.
AI cho doanh nghiệp B2B: chat đa kênh AI phản hồi, gom lead tiềm năng, phân loại khách hàng.
Sắp ra mắtHai cuộc tấn công social engineering là ConsentFix và ClickFix lợi dụng các thao tác quen thuộc của người dùng để chiếm quyền tài khoản Microsoft 365 chỉ trong vài giây. ClickFix dụ nạn nhân thực thi lệnh do kẻ tấn công cung cấp thông qua phím tắt bàn phím, trong khi ConsentFix khai thác lỗ hổng OAuth bằng cách lôi kéo người dùng kéo liên kết callback localhost vào trình duyệt, chiếm lấy token phiên làm việc mà không cần mật khẩu hay vượt qua MFA. Đến đầu năm 2026, các hướng dẫn kỹ thuật chi tiết cùng mã nguồn và video hướng dẫn của ConsentFix đã được đăng công khai trên diễn đàn tội phạm mạng Nga, giúp giảm đáng kể rào cản thực hiện tấn công. Để phòng thủ, cần kết hợp nâng cao nhận thức người dùng và triển khai các biện pháp phát hiện kỹ thuật như giám sát hoạt động PowerShell bất thường hay đăng nhập phiên lạ.
Lập trình viên nên đọc bài này để hiểu cách các cuộc tấn công xã hội kỹ thuật số như ConsentFix và ClickFix exploit các quy trình làm việc thông thường của người dùng trong Microsoft 365, giúp họ phát triển các giải pháp bảo mật hiệu quả hơn, từ đó bảo vệ hệ thống và ứng dụng của mình trước các cuộc tấn công mới.
Năm 2026, những mối đe dọa mạng nguy hiểm bao gồm lừa đảo bằng AI, giọng nói deepfake, ransomware tống tiền kép, rủi ro từ cấu hình sai trên cloud, tấn công thiết bị di động, tái sử dụng mật khẩu, kỹ thuật xã hội tinh vi và tấn công chuỗi cung ứng. Để phòng tránh, người dùng nên sử dụng quản lý mật khẩu, bật xác thực đa yếu tố (MFA), cập nhật thiết bị thường xuyên và cẩn trọng khi nhấp vào liên kết.
Lập trình viên nên đọc bài này để hiểu cách bảo vệ hệ thống và ứng dụng của mình trước những mối đe dọa mới nổi từ AI, ransomware và các tấn công phức tạp, từ đó xây dựng các giải pháp bảo mật hiệu quả và phòng ngừa trước các cuộc tấn công trong tương lai.
Google kiện Outsider Enterprise (công ty allegedly đặt tại Trung Quốc) vì hoạt động phishing-as-a-service lợi dụng AI tạo sinh để tăng tốc tấn công.
Lập trình viên nên đọc bài này để hiểu cách các công nghệ AI hiện đại như generative AI có thể biến hóa và mở rộng quy mô của các hình thức gian lận mạng, đặc biệt là phishing, và tìm hiểu cách bảo vệ hệ thống của mình trước những rủi ro mới từ các dịch vụ như "phishing-as-a-service".
Báo cáo mới nhất của KnowBe4 chỉ ra ba ngành dễ bị tấn công phishing nhất tại Anh và Ireland là chăm sóc sức khỏe, dịch vụ khách sạn và xây dựng.
Lập trình viên nên đọc bài này để hiểu cách bảo mật hệ thống và ứng dụng của họ có thể bị tấn công thông qua phishing, từ đó xây dựng các giải pháp phòng ngừa và bảo vệ dữ liệu khách hàng, doanh nghiệp trong các ngành công nghiệp nhạy cảm như y tế, khách sạn và xây dựng.
Hai bộ công cụ phishing mới là Jalisco và OmegaLord đã được phát hiện tấn công tài khoản Microsoft 365, sử dụng kỹ thuật vượt qua xác thực đa yếu tố (MFA).
Lập trình viên nên đọc bài này để hiểu cách bảo mật hệ thống của họ có thể bị lỗ hổng mới trong Microsoft 365, từ đó đề phòng và bảo vệ ứng dụng, đặc biệt là khi triển khai MFA.
Microsoft sẽ chuyển xác thực bằng passkeys thành phương thức mặc định cho dịch vụ định danh doanh nghiệp Entra ID từ tháng 9 năm 2026.
Lập trình viên nên đọc bài này để hiểu cách tích hợp và triển khai passkeys vào ứng dụng của mình, giúp nâng cao an toàn và tương thích với tương lai của các giải pháp xác thực sinh học và khóa mật khẩu không cần nhớ.
Các cơ quan tình báo Nga (UNC5792) đang nhắm mục tiêu người dùng Signal, WhatsApp và Telegram thông qua các chiêu thức phishing, lừa đảo bằng mã QR, lạm dụng tính năng thiết bị liên kết và đánh cắp khóa khôi phục – mà không cần phá vỡ lớp mã hóa. FBI đã cảnh báo về các chiến thuật này, đồng thời chính phủ Mỹ treo thưởng 10 triệu USD cho thông tin về các đối tượng đe dọa. Bài viết nhấn mạnh rằng các ứng dụng nhắn tin mã hóa có thể an toàn ở lớp vận chuyển, nhưng các phương thức khôi phục tài khoản và đầu cuối (endpoints) vẫn là điểm yếu dễ bị khai thác.
Lập trình viên nên đọc bài này để hiểu cách các nhóm hacker tấn công thông qua các lỗ hổng trong cơ chế phục hồi mật khẩu và giao diện người dùng của ứng dụng tin nhắn, giúp họ có kiến thức để cải thiện bảo mật trong các dự án của mình.