根据Proofpoint最近发布的2022年网络钓鱼状况报告显示，去年网络钓鱼攻击造成的损失增加了 76%，近三分之一的公司因成功的网络钓鱼攻击而蒙受损失。2022 年，超过五分之四的受访组织至少经历了一次成功的网络钓鱼攻击，其中超过一半的组织至少经历了三次成功的网络钓鱼攻击。

据外媒报道，由于服务器端配置错误，印度家庭沙龙平台Yes Madam暴露了其客户和员工的敏感数据。据报道称，该平台提供家庭沙龙服务，包括理疗、按摩、水疗等，其移动应用程序已有超过一百万的下载量。目前，该公司表示已修复程序，并已告知受影响的用户和员工。

近日，证监会制定并发布了《证券期货业网络和信息安全管理办法》， 5月1日起正式实施。《办法》全面覆盖了包括证券期货关键信息基础设施运营者、核心机构、经营机构、信息技术系统服务机构等各类主体，以安全保障为基本原则，对网络和信息安全管理提出规范要求，主要内容包括：网络和信息安全运行、投资者个人信息保护、网络和信息安全应急处置、关键信息基础设施安全保护、网络和信息安全促进与发展、监督管理和法律责任等。

据安全公司ESET表示，研究人员发现黑客组织 Mustang Panda aka TA416 和 Bronze President 部署了一种新型后门程序 MQsTTang，主要通过钓鱼邮件传播。该恶意程序为了躲避监测，利用了 MQTT 协议去进行指令通信。MQsTTang 还会检查主机上是否存在调试器或监控工具，如有发现，它会相应改变行为。

据悉尼先驱晨报报道，近日一名澳大利亚女子因在短时间内使用多个域名向国会议员办公室发送了 32,397 封电子邮件，造成持续的干扰和骚扰而被澳大利亚警察抓捕。据报道称，这名妇女被控一项未经授权损害电子通讯的罪名，最高可判处 10 年监禁。

据外媒报道，金融技术公司Hatch Bank近日透露，黑客利用GoAnywhere MFT软件中的漏洞窃取了其近14万个客户的数据。据报道， 1月29日，Fortra得知其遭到了网络攻击。2月3日，Hatch Bank收到Fortra的通知，获悉其在Fortra GoAnywhere的文件遭到未经授权的访问。通过对被盗数据的审查，确定客户的姓名和社会安全号码被攻击者盗用。目前，该公司表示将为受影响用户提供12个月的免费信用监控服务。

近日，欧盟发布《网络保险的需求：对OES的挑战和前景的分析》报告，报告分析了基本服务运营商（OES）在获得网络保险服务方面的当前观点和挑战。信息和统计数据是根据他们在日常业务生命周期中选择、获得和使用网络保险作为缓解工具而提供的。本分析的主要目标是了解和确定基本服务运营商（OES）在签订网络保险合同时面临的当前要求和挑战。

据外媒报道，近日华盛顿州部分地区的公共交通系统证实，两周前的勒索软件攻击破坏了其部分系统。据调查显示，此次活动开始于2月14日，攻击者为LockBit勒索软件组织。据报道，该组织表示，在攻击中窃取了通信、保密协议、客户数据、合同等敏感数据。目前，该交通系统已恢复，事件还在进一步调查中。

3月1日，Trend Micro发布了APT27（Iron Tiger）Linux版本自定义恶意软件SysUpdate的分析报告。报告显示，黑客于2022年7月首次测试了Linux版本，然而直到2022年10月，多个payload才开始在野外传播。该Linux变体是一个ELF可执行文件，使用Asio库用C++开发，其功能与Windows版SysUpdate非常相似，但新增了DNS隧道功能。

据外媒2日报道，英国零售商店WH Smith遭到攻击，现员工和前员工的信息泄露。目前，该公司表示，此次事件导致公司的部分数据被非法访问，但并未影响其贸易业务，客户信息没有受到影响。根据该公司表示，此次攻击很可能是一次勒索软件攻击，首次攻击可能出现在1月18日，目前事件还在进一步调查当中。

据媒体报道，Microsoft正在调查全球Exchange Online用户无法访问其邮箱的问题。从3月1日下午开始，受影响用户在发送或接收邮件时会看到 "550 5.4.1 Recipient address rejected: Access denied "的错误提示。Microsoft不久后表示已经发现了一个潜在的基于目录的边缘封锁（DBEB）问题，并通过Exchange Online Protection(EOP)流量在受影响的基础设施中重新配置路由，解决了该问题。

IDC于2日发布报告称，2022 年全球网络安全总投资规模为1955.1亿美元，并有望在2026年增至2979.1亿美元。中国市场方面，IDC 预计到 2026年中国网络安全支出规模接近 288.6亿美元，五年复合增长率将达到 18.8%，增速位列全球第一。从最终用户的角度来看，政府、金融、电信等行业仍是网络安全领域的支出主体，三者支出规模合计占比近六成。

据Quarkslab近日表示，其安全研究人员在可信平台模块 (TPM) 2.0 参考库规范中发现了两个严重安全缺陷，建议供应商立即开展工作来识别和修补易受攻击的项目部署。该漏洞被追踪为CVE-2023-1017和CVE-2023-1018，为经过身份验证的本地攻击者提供覆盖 TPM 固件中受保护数据并发起代码执行攻击的途径。

Lookout近日发布了2022年全球移动网络钓鱼现状报告，报告显示2022年移动网络钓鱼数量创历史新高率，每一个季度全球都有近一半的手机用户面临网络钓鱼攻击。同时，自2021 年以来，企业手机的移动网络钓鱼遭遇率增加了约 10%，其中保险、银行、法律、医疗保健和金融服务在内的高度监管行业是主要目标行业。

据外媒报道，黑客入侵了一个贩卖枪支的网站GunAuction.com并窃取了超过 550,000 名用户的敏感个人数据，数据包括全名、家庭住址、电子邮件地址、明文密码和电话号码等。目前，GunAuction.com首席执行官Manny DelaCruz已证实了这一违规行为，并建议客户保持警惕，检查其财务账户和信用报告，查看是否有任何可疑活动。

近日，硬件加密货币钱包Trezor发布公告显示，发现有黑客发布Trezor遭遇数据泄漏的虚假通知以窃取用户的加密货币钱包及资产。据其调查发现，该网络钓鱼活动从2月27日开始。目前，Trezor表示公司并未有任何数据泄漏事件出现，建议用户谨防网络钓鱼诈骗，切勿与任何人共享钱包密码等信息。

思科近日发布公告表示，已解决在多个IP电话型号的 Web UI 中发现的一个严重安全漏洞，未经身份验证的远程攻击者可以利用该漏洞进行远程代码执行(RCE)攻击。思科于1日还披露了第二个高危漏洞 (CVE-2023-20079)，该漏洞可被用来触发拒绝服务(DoS)。但该公司的产品安全事件响应团队（PSIRT）表示，并未看到试图在攻击中利用此安全漏洞的证据。

据外媒报道，近日暗网交易市场BidenCash为庆祝其周年活动，已经泄露了超过200万张有效信用卡信息。这些数据多来自一年前，数据集包含美国、墨西哥、加拿大等地的受害者全名、卡号、银行详细信息、有效期、卡验证值 (CVV) 号码和超过 500000 个电子邮件地址等。目前，事件还在持续调查当中。

据eSentire的研究人员近日表示，在2023年1月和2月期间阻止了针对 6 家不同律师事务所的10次网络攻击。这些攻击事件多使用GootLoader和FakeUpdates恶意软件感染律师事务所员工的服务器。据研究人员表示，多起攻击事件通过入侵WordPress网站并在管理员不知情的情况下添加带有恶意软件的博客文章，引诱受害者点击、下载。

据外媒28日报道，Snatch Team勒索软件组织声称从支付处理公司Ingenico窃取了敏感数据。随后，威胁情报分析师和恶意软件观察员 Gi7w0rm 在 Twitter 上发帖称 Snatch 勒索组织涉嫌入侵 Ingenico，并表示目标公司情况严重。据相关安全专家分析表示，黑客可能获得了对 Ingenico 计算机系统的特权访问的计算机网络管理员凭据的编辑细节，以及网络设置和 VPN 计划。