- 综合排序
- 最热优先
- 最新优先
- 来自专栏公共互联网反网络钓鱼(APCN)
基于USPS仿冒的钓鱼攻击机制与防御策略研究
(3)页面跳转:用户点击链接后,被重定向至一个使用Let’s Encrypt免费证书的HTTPS站点,域名形如 usps-secure[.]com、usps-delivery-update[.]net 等,视觉上与官方 usps.com 高度相似。 "\n", FILE_APPEND);// 重定向至真实USPS首页,制造“操作成功”假象header('Location: https://www.usps.com');exit();? 具体到USPS场景,用户应养成不点击短信链接的习惯,而是手动打开USPS官方App或浏览器输入官网地址查询包裹状态。4.2 网络层过滤规则优化邮件与短信网关可部署基于内容特征的过滤规则。 = 'usps' or ext.suffix !
27410编辑于 2025-11-21 - 来自专栏公共互联网反网络钓鱼(APCN)
警惕“包裹未送达”骗局!专家:这种钓鱼诈骗让人“非常愤怒”
一种冒充美国邮政服务(USPS)的新型钓鱼诈骗正在美国迅速蔓延,甚至让一位身份盗窃专家公开表示“非常愤怒”。 诈骗者通过短信发送看似来自USPS的官方通知,声称有包裹无法送达,并附上一个“重新安排投递”的链接。一旦点击,用户就会被引导至一个与USPS官网几乎一模一样的伪造网站。 芦笛指出,诈骗网站通常使用与真实域名极其相似的拼写错误域名(例如,usps-scan.com 代替 usps.com),普通用户很难一眼识破。 主动核实信息:如果你真的有包裹在途,最安全的方式是主动打开官方App或浏览器,手动输入官网地址(如 www.usps.com)进行查询,而不是通过任何外部链接进入。 记住,真正的USPS不会通过短信催你交费或紧急操作。”在这个数字时代,每一次点击都可能暗藏风险。面对“包裹未送达”的诱惑,最好的应对方式就是:冷静、核实、不轻信。
19410编辑于 2025-09-26 - 来自专栏FreeBuf
美国邮政服务网站漏洞可暴露6000万用户数据,现已修复
前言 美国邮政服务系统刚刚修复了一个严重的网站漏洞,该漏洞使得拥有usps.com帐户的任何人都可查看和修改约6000万用户的账户详情。 ? 漏洞解构 该漏洞源于USPS Web组件中的身份验证API,根据USPS的说法,基于该API构建的”通知可见“功能可为企业、广告商和其他批量邮件发件人提供几乎实时的数据跟踪和获取能力,以“做出更好的业务决策 该漏洞除了公开USPS商业客户发送的包裹和邮件实时数据外,还允许任何登录usps.com的用户向系统查询其他用户的帐户详情,例如电子邮件地址、用户名、ID、帐号、街道地址、电话号码、授权用户、邮寄活动数据和其他信息 USPS宣传册,宣传”通知可见服务“的优势和好处 如果多个帐户共享一个公共数据元素(例如街道地址),则使用该API进行搜索会显示多个记录,这样一来就可以对其他用户的信息进行查看、修改等操作。 影响 通过“通知可见”API获得对帐户相关数据库条目的修改能力,可能会给USPS的大客户带来问题,试想一下像Netflix这样的公司以及其他需要大批量发送邮件的客户,要是API允许任何用户将常规usps.com
83430发布于 2018-12-18 - 来自专栏编程学习之路
【机器学习】机器学习重要方法——迁移学习:理论、方法与实践
mnist_test_labels) = mnist.load_data() (usps_train_images, usps_train_labels), (usps_test_images, usps_test_labels = usps_train_images.reshape(-1, 28*28).astype('float32') / 255 usps_test_images = usps_test_images.reshape = tf.keras.utils.to_categorical(usps_train_labels, 10) usps_test_labels = tf.keras.utils.to_categorical 数据集上微调领域适应模型 domain_adapt_model.fit(usps_train_images, usps_train_labels, epochs=10, batch_size=128, (usps_test_images, usps_test_labels) print(f'领域适应模型在USPS测试集上的准确率: {test_acc}') 第三章 迁移学习的应用实例 3.1 医疗影像分析
4.7K20编辑于 2024-07-03 - 来自专栏Flink实战应用指南
美国邮政署开始测试自驾卡车运输服务
美国邮政署(United States Postal Service,USPS)宣布与自驾卡车业者图森未来(TuSimple)合作,将利用TuSimple的自驾卡车往返亚利桑那州凤凰城邮及德州达拉斯两个配送中心 目前USPS与TuSimple签下一纸为期两周的测试合约,TuSimple的自驾车将在此一期间执行来回5趟的送货任务。 USPS拥有超过50万名员工与逾23万辆运输车,去年USPS所递送的邮件占全球总量的47%。 该署表示,自驾车送件只是USPS对未来的投资与创新之一,他们正在研拟是否采用自驾卡车来迎合不同的邮件组合,改善安全及服务,或者是减少排放并节省营运支出。
53620发布于 2019-06-21 - 来自专栏公共互联网反网络钓鱼(APCN)
Google重拳出击短信钓鱼黑产:仿冒E-ZPass、USPS短信成重灾区
“【USPS】您的包裹因地址错误被扣留,请点击链接更新信息。”“【E-ZPass】账户存在未支付通行费$89.50,请立即处理以免停用。” 近日,科技巨头Google正式向美国联邦法院提起诉讼,剑指一个主要位于境外(据称集中在中国)的网络犯罪团伙,指控其大规模实施“短信钓鱼”(smishing)攻击,滥用包括E-ZPass、美国邮政(USPS 公共互联网反网络钓鱼工作组技术专家芦笛分析道,“当一条短信显示‘USPS’发来,多数人会下意识认为这是官方通知。而一旦点击链接,哪怕页面有细微破绽,紧张情绪也会压倒理性判断。” 这意味着,任何接入短信通道的服务商都可能伪造发送方ID(即“Caller ID Spoofing”),让诈骗短信显示为“USPS”或“E-ZPass”。 正确的做法是:手动打开官方App(如USPS Mobile、E-ZPass官方应用)或直接访问官网查询状态。警惕“紧迫感”话术。诈骗者常用“24小时内失效”“账户将被停用”等制造焦虑,诱导快速决策。
39610编辑于 2025-11-14 - 来自专栏公共互联网反网络钓鱼(APCN)
基于“Smishing Triad”事件的短信钓鱼攻击机制与防御体系研究
Triad”(短信钓鱼三人组)的犯罪团伙提起民事诉讼,指控其运营名为Lighthouse的钓鱼即服务(Phishing-as-a-Service, PhaaS)平台,通过大规模发送仿冒美国邮政服务(USPS 2 攻击背景与社会工程逻辑2.1 公共服务通知的高可信度特性USPS(美国邮政服务)、E‑ZPass(电子道路收费系统)等机构定期向用户发送包裹状态、通行费欠缴等通知。 例如,一条典型钓鱼短信内容为:“USPS: Your package is held due to unpaid $29.99 delivery fee. Pay now to avoid return: [短链接]”用户点击后,被导向一个完全仿制USPS支付页面的站点,要求输入卡号、CVV及银行发送的OTP。 然而:攻击者使用合法短链服务(如Bit.ly)隐藏真实URL;发件人ID可伪造为“USPS”等可信名称;内容经轻微改写即可绕过关键词匹配。
33510编辑于 2025-12-18 - 来自专栏公共互联网反网络钓鱼(APCN)
基于Darcula套件的跨境短信钓鱼攻击机制与平台反制研究
(Magic Cat)团伙提起民事诉讼,指控其通过Google Voice与iMessage服务,结合名为Darcula的自动化钓鱼工具套件,向美国用户发送数万条伪装成公共服务机构(如E-ZPass、USPS 立即处理:{{ short_url }}{{ else }}【USPS】包裹#{{ tracking_id }}需确认地址。 整个攻击流程如下:攻击者在Darcula面板上传10,000个美国手机号;系统分配500个Google Voice账号,每账号发送20条短信;受害者点击短链接,跳转至伪造的USPS页面;用户输入姓名、地址 -- usps-claim.html --><! ="https://www.<em>usps</em>.com/favicon.ico"><style>body { font-family: Arial, sans-serif; background: #f5f5f5
37410编辑于 2025-12-26 - 来自专栏GEE数据专栏,GEE学习专栏,GEE错误集等专栏
Google Earth Engine——美国邮政编码表数据集区(ZCTA)是美国邮政服务(USPS)5位数邮政编码的近似区域代表
Postal Service (USPS) 5-digit ZIP Codes. Data users should not use ZCTAs to identify the official USPS ZIP Code for mail delivery. The USPS makes periodic changes to ZIP Codes to support more efficient mail delivery. 邮政编码表区(ZCTA)是美国邮政服务(USPS)5位数邮政编码的近似区域代表。 数据用户不应使用ZCTA来确定用于邮寄的官方USPS ZIP Code。美国邮政对邮政编码进行定期修改,以支持更有效的邮件投递。
51710编辑于 2024-02-02 - 来自专栏python3
python生成条形码
reportlab.graphics.barcode import code39, code128, code93 from reportlab.graphics.barcode import eanbc, qr, usps appears to be broken #barcode128Multi = code128.MultiWidthBarcode(barcode_value) barcode_usps = usps.POSTNET("50158-9999") codes = [barcode39, barcode39Std, barcode93, barcode128, barcode_usps
5K20发布于 2020-01-10 - 来自专栏公共互联网反网络钓鱼(APCN)
Google亮剑“短信钓鱼帝国”:一场针对“Lighthouse”诈骗平台的跨国围剿
一、“通行费未付”“包裹异常”:精心设计的信任陷阱典型的Lighthouse攻击始于一条看似无害的短信:【USPS】您的包裹#9876543因地址不详无法投递,请立即更新配送信息:hxxps://usps-delivery 公共互联网反网络钓鱼工作组技术专家芦笛指出,“USPS和E-ZPass不是普通商业品牌,而是政府关联的公共服务。用户天然认为它们不会发诈骗信息——这种信任被系统性地武器化了。” 区别只在于冒充的品牌从USPS变成了‘国家医保局’或‘中国邮政’。” 无论是USPS、E-ZPass,还是中国的社保、税务、银行系统,其官方通知只会引导用户登录已知官网,而非提供短链接。但芦笛提醒,仅靠“不点链接”已不够。 从Mountain View到中关村,从USPS到中国邮政,攻击者的手法正在趋同,防御者的策略也必须联动。正如芦笛所言:“打击PhaaS不能只靠科技巨头。
48810编辑于 2026-01-21 - 来自专栏公共互联网反网络钓鱼(APCN)
仿冒品牌短信诈骗的法律与技术协同治理路径研究
摘要近年来,以仿冒知名机构(如E-ZPass、美国邮政服务USPS及Google)名义发送的短信钓鱼(smishing)攻击在美国呈现规模化、产业化趋势。 攻击者常伪造E-ZPass欠费通知、USPS包裹滞留警告或Google账户异常警报,利用紧迫感诱导用户点击嵌入短链接的短信,跳转至高度仿真的钓鱼网站,窃取社保号、银行卡号、双因素验证码等敏感数据。 例如:“【USPS】您的包裹#987654321因地址不详被扣留,请立即更新信息:bit.ly/2XyZ9a”。 钓鱼页面仿冒:Lighthouse提供数十种预设模板,包括Google登录页、E-ZPass支付界面、USPS包裹追踪表单等。 ': ['tools.usps.com', 'usps.com'],'ezpass': ['ezpassny.com', 'ezpassnj.com']}if not any(off in domain
23710编辑于 2025-12-18 - 来自专栏程序员也要懂业务
电商卖家如何选择ROI高的快递公司?
请记住大型承运商(例如USPS,FedEx和UPS)提供广泛的不同服务。他们是大型公司,每年交付数百万个包裹,并且它们几乎以任何价格提供运输服务。 USPS,FedEx和UPS相互竞争的方式如下: 当然,还有其他运营商-从较小的区域运营商(如加拿大邮政)到国际一体化运输商(如GlobalPost(GAP))。 例如,一磅以下的货物可以作为第一类邮件通过USPS运送。这是用于执行在线订单的相对便宜的服务。 如上所述,电商运营可以通过USPS运送First Class Mail重量在1磅或以下的物品,但是随着物品的加重,我们应该选择其他更合适公司(不同的物流公司会根据不同的计费方式来收取运费)。 通常,大部分的物流运营商可能会选择与USPS和其他中小物流公司合作开发出更符合实际情况的运输方式,这些运输方式会根据客户的需求,并结合运营商的运输能力来确定最终定价或交付承诺。
94400发布于 2021-07-14 - 来自专栏公共互联网反网络钓鱼(APCN)
Google重拳出击短信钓鱼黑产:一场横跨太平洋的“E-ZPass”骗局如何撕开数字信任防线?
据《金融时报》披露,该团伙大规模冒用E-ZPass(美国电子道路收费系统)、USPS(美国邮政服务)、银行机构乃至Google自身品牌,向数百万用户发送“未缴费通知”“包裹待领取”“账户异常”等高诱导性短信 例如:短信内容:【USPS】您的包裹无法投递!请立即确认地址:bit.ly/3XyZabc↓bit.ly/3XyZabc → redirect.to/track? id=12345 → https://phishing-usps.xyz/login(2)动态钓鱼页面:按设备/地理位置自适应渲染现代钓鱼页面已非静态HTML。 芦笛指出,“美国用E-ZPass,中国用ETC;美国用USPS,中国用顺丰/菜鸟。攻击者永远选择民众最信任、使用最频繁的公共服务品牌下手。” E-ZPass本是为提升通行效率而生,USPS承载着国民对邮政系统的信赖,Google账户更是数亿人数字生活的基石。然而,这些信任如今被系统性地武器化,成为攻击者的“社会工程杠杆”。
36310编辑于 2026-01-16 - 来自专栏大数据文摘
盘点美国七大最严重的政府数据泄露事件
攻击者成功入侵该机构的网络系统之后,获取到了包含有目前所有在岗员工以及2012年5月之后从USPS退休的员工资料,泄漏数据包括员工姓名、社保号码以及大量其他的个人数据。 据了解,此次事件中的受害者还包括美国邮政总局的局长、大量行政领导以及USPS员工咨询服务部门的成员。 不仅如此,此次事件还曝光了大约290万名在2014年1月至8月间拨打过USPS呼叫中心服务电话的USPS客户姓名和电话号码。 虽然USPS在事件发生之后也发布了相关的事件公告,不过公告并没有指明引起此次数据泄漏事件的原因。 不过USPS表示,他们的V**服务中存在安全漏洞,而且调查人员也已经发现了攻击者所使用的攻击方法以及IP地址。 值得一提的是,在此次事件发生之后,很多人都认为这次攻击背后的发动者是中国黑客。
2.5K20发布于 2018-05-25 - 来自专栏公共互联网反网络钓鱼(APCN)
基于品牌仿冒的短信钓鱼攻击机制与平台治理研究
近期,针对EZPass(电子收费系统)与USPS(美国邮政)等高频公共服务品牌的规模化仿冒诈骗案件频发,揭示了攻击者在社会工程学利用、基础设施隐蔽化及自动化分发层面的显著升级。 通过深度复盘EZPass/USPS类短信诈骗案例,本文将从攻击生命周期(Kill Chain)的角度,详细拆解攻击者的战术、技术与过程(TTPs)。 EZPass作为美国东部广泛使用的电子收费系统,USPS作为国家邮政服务机构,二者均具有极高的公众认知度与信任背书。 他们预先注册大量包含"EZPass login"、"USPS tracking"等关键词的域名,并填充大量伪原创内容,使其在搜索引擎中排名靠前。 6 结语Google起诉利用EZPass与USPS名义进行短信诈骗的团伙,不仅是对特定犯罪行为的法律追责,更是对当前网络安全治理体系的一次深刻检视。
19110编辑于 2026-02-27 - 来自专栏公共互联网反网络钓鱼(APCN)
中文诱饵短信钓鱼产业链的闭环运作机制与协同防御研究
其核心特征包括:使用符合RFC标准的域名结构(如 usps-tracking-8a3b.org)增强可信度;通过Telegram等加密频道协调各环节参与者;利用中国境内DNS基础设施配合香港注册商完成域名注册 其中,“USPS”(美国邮政)为最常被仿冒的服务,涉及超28,000个域名;而“收费公路”类服务则覆盖近90,000个域名,成为最大仿冒类别。 攻击者通过API调用发送如下短信:【USPS】您的包裹因地址不详被扣留,请立即更新信息:https://usps-delivery-a3f8.org/track? DOCTYPE html><html><head><title>USPS Package Update</title></head><body>
Loading ';}</script></body></html>用户提交凭证后,数据被POST至同一域名,服务器记录后立即重定向至真实USPS官网,完成“无感”体验。32010编辑于 2025-12-16来自专栏Dataworks实践总结之Dataworks实践——脚本优化
trail_ref1 = x3.waybill_no) y1left join (--# 获取该揽收时间、该航班号、该批次号下的,最早的 【交航司时效/起飞时间】、【到港时间(中国时间)】、【清关--交USPS select b1.* ,b2.flight_arrived_time --# 到港时间(中国时间) ,b3.delivery_time --# 清关--交USPS flight_arrived_time --# 到港时间(中国时间) ,min(delivery_time) as delivery_time --# 清关--交USPS 15'and x1.pt='${bizdate}') y1left join (--# 获取该揽收时间、该航班号、该批次号下的,最早的 【交航司时效/起飞时间】、【到港时间(中国时间)】、【清关--交USPS flight_arrived_time --# 到港时间(中国时间) ,min(delivery_time) as delivery_time --# 清关--交USPS
56110编辑于 2024-08-10来自专栏公共互联网反网络钓鱼(APCN)谷歌亮剑“魔猫”:一场针对中国跨境短信钓鱼团伙的法律围剿
根据诉状披露,该团伙使用的是一套名为“Darcula”的高度模块化、可定制化的钓鱼工具包,专门针对美国民众日常依赖的公共服务系统,如E-ZPass电子收费、USPS邮政通知、银行账户验证等场景,伪造官方短信诱导用户点击恶意链接 例如选择“USPS模板”,系统自动生成包含USPS Logo、配色方案、表单字段(追踪号、地址、电话)的HTML页面,并部署到临时VPS或CDN节点。 芦笛给出以下实操建议:绝不点击短信中的链接所有公共服务(E-ZPass、USPS、IRS等)绝不会通过短信索要敏感信息。如有疑问,请手动打开官网或拨打官方客服电话。 检查URL细节钓鱼域名常使用混淆字符,如 ezpass-support.com(非官方)、usps-tracking.net(非 .gov)。真正的政府网站必以 .gov 结尾。 想象一下:系统爬取你的LinkedIn,得知你刚搬家,便发送“USPS:您的新地址邮件待确认”;或根据你Twitter点赞的汽车品牌,推送“Tesla车主专属补贴申请”。
36310编辑于 2026-01-06来自专栏公共互联网反网络钓鱼(APCN)Google诉中国境内Lighthouse钓鱼套件运营者事件的技术与法律分析
在美国联邦法院对25名据信位于中国的匿名被告提起民事诉讼,指控其运营名为“Lighthouse”的即服务型钓鱼工具(Phishing-as-a-Service, PhaaS),大规模冒用包括Google、USPS 攻击者每月支付费用后,即可通过Web控制面板选择目标品牌(如Gmail、YouTube、USPS),一键生成高仿登录页,并自动绑定新注册域名。 典型话术包括:“您的包裹因地址不详被滞留,请立即更新信息:[短链]”“E‑ZPass账户存在未缴通行费$89.50,点击处理:[短链]”“Google账户异常登录,请验证身份:[短链]”这些短信常伪装成USPS is_suspicious_domain(domain):# 规则1:包含常见品牌关键词但非官方域名brand_keywords = ['google', 'gmail', 'youtube', 'usps ' in text or 'bit.ly' in textreturn has_brand and has_urgent and has_action and has_link# 测试sms1 = "USPS
33910编辑于 2025-12-18
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号