慢雾：Apple Store恶意钓鱼程序可模仿正常应用程序，盗取账号密码以绕过2FA

金色财经报道，慢雾首席信息安全官23pds发推称，警惕Telegram恶意钓鱼链接导致Telegram帐户被接管风险。 近日我们发现知名聊天工具telegram链接身份功能被爆一个风险，恶意用户通过私聊发送特定链接给受害者，一旦受害者点击此链接，可能导致自己的telegram帐户被接管。

金色财经报道，近期，慢雾安全团队发现有黑客组织利用Calendly的功能，使用“添加自定义链接”在事件页面上插入恶意链接发起钓鱼攻击。Calendly 是一款非常受欢迎的免费日历应用程序，用于安排会议和日程，通常被组织用于预约活动或发送即将到来的活动的邀请。黑客组织通过Calendly发送恶意链接与大多数受害者的日常工作背景很好地融合在一起，因此这些恶意链接不容易引起怀疑，受害者容易无意中点击恶意链接，在不知觉中下载并执行恶意代码，从而遭受损失。 慢雾安全团队提醒大家在使用Calendly的时候，如果发现界面上有链接，请注意识别链接的来源和域名，避免遭受攻击。可以在点击链接之前将鼠标移到文本上方，此时在浏览器的左下方会展示文本对应的链接地址，在点击之前请仔细核对好链接地址，避免访问到钓鱼链接。

金色财经报道，根据应用程序开发商 Twilio 于 7 月 1 日发布的安全警报帖子，黑客获得了对 Authy Android 应用程序数据库的访问权限，能够识别与账户相关联的数据，包括电话号码。 帖子中指出，账户本身没有受到损害，这意味着攻击者无法获得身份验证凭据。然而，泄露的电话号码可能会在未来用于钓鱼和短信钓鱼攻击。因此，Twilio 鼓励 Authy 用户保持警惕，对接收到的短信保持高度警觉。 中心化交易平台的用户通常依赖于 Authy 进行双因素认证（2FA）。它在用户设备上生成一个代码，交易平台在执行提现、转账或其他敏感任务之前可能会要求输入此代码。 Authy 有时会与 Google 的 Authenticator 应用进行比较，后者具有类似的功能。

10月25日消息，AppStore昨日更新审核指南，其中涵盖对加密货币交易、加密钱包和NFT相关服务的审核。其中，关于NFT的审核规定：应用程序可能允许用户查看他们自己的NFT，前提是NFT所有权不会解锁应用程序内的特性或功能。 应用程序可能允许用户浏览他人拥有的NFT集合，前提是应用程序不得包含按钮、外部链接或其他将客户引导至应用内购买以外的购买机制的行动号召。此前消息，苹果公司对通过iOS应用程序内的所有NFT交易收取高达30%的佣金。

金色财经报道，慢雾科技首席信息安全官23pds发文表示，Authy，仅次于Google Authenticator的流行2FA服务遭到黑客攻击，泄露3300万用户的电话号码。如果您是Authy用户，请警惕网络钓鱼攻击。 目前官方开发商Twilio已经确认了漏洞，加密货币行业有大量从业者使用此款2FA软件，请注意资产安全。

6月20日消息，苹果App Store上出现一款假冒Trezor的恶意应用程序Trezor Wallet Suite，该应用已经上架了几周，可能已经窃取了数千人的资金。该恶意程序最初由The Crypto Lawyers的管理合伙人Rafael Yakobi发现。Trezor的实际iOS应用程序被称为“Trezor Suite Lite”，使用户能够跟踪他们的投资组合并交易资产。如果用户忘记了钱包应用的登录细节，钱包供应商会要求他们离线存储种子短语。种子短语是最后一道防线，用户只能用它从钱包应用程序中收回资金。 Trezor为用户提供了Shamir备份，以帮助他们生成多个种子短语，这些种子短语可以存储在不同的物理位置。下载应用程序后，用户可以选择一定数量的短语来解锁资金。例如，他们可以生成三个种子短语，但只需要两个就可以解锁他们的资金。而使用假冒的Trezor Wallet Suite泄露种子短语的用户可能创建了一个种子短语。生成多个种子短语需要用户创建新的钱包。多个种子短语可以确保即使假冒应用获取了一个短语，它也无法访问用户资金。 截至发稿时，这款假冒应用已成为英国区App Store搜索量第二高的应用。（BeInCrypto）