Neue Angriffsmethode „CometJacking“ nutzt URL‑Parameter, um Perplexitys KI‑Browser Comet auszuspähen
Ein kürzlich entdeckter Angriff namens CometJacking ermöglicht es Angreifern, über manipulierte URLs versteckte Anweisungen an den KI‑Browser Comet von Perplexity zu senden. Diese Anweisungen lassen die KI auf sensible Daten zugreifen, die mit verbundenen Diensten wie E‑Mail und Kalender synchronisiert sind.
Der Angriff ist ein klassischer Prompt‑Injection‑Befehl: In der Abfrage‑Zeichenkette (Query‑String) des Browsers wird das Parameterfeld collection missbraucht, um schädliche Instruktionen einzuschleusen. Statt im Internet zu recherchieren, weist das manipulierte Prompt die KI an, ihr internes Gedächtnis und angebundene Services zu konsultieren.
Gefährlichkeit: Der Angriff erfordert weder gültige Zugangsdaten noch irgendeine Interaktion des Opfers. Der Angreifer muss lediglich eine präparierte URL verbreiten (z. B. per Phishing‑Mail oder Social‑Media‑Post). Sobald ein Zielnutzer die URL öffnet, führt Comet die schädlichen Befehle aus und liefert die Daten an den Angreifer.
Und was sagt Perplexity dazu: nix gefährlich, kein Fehler.

https://layerxsecurity.com/blog/cometjacking-how-one-click-can-turn-perplexitys-comet-ai-browser-against-you/

#infosec #ai #PromptInjection #Phishing #SocialMedia #BeDiS #perplexity #cometAI

Neue Angriffsmethode „CometJacking“ nutzt URL‑Parameter, um Perplexitys KI‑Browser Comet auszuspähen
Ein kürzlich entdeckter Angriff namens CometJacking ermöglicht es Angreifern, über manipulierte URLs versteckte Anweisungen an den KI‑Browser Comet von Perplexity zu senden. Diese Anweisungen lassen die KI auf sensible Daten zugreifen, die mit verbundenen Diensten wie E‑Mail und Kalender synchronisiert sind.
Der Angriff ist ein klassischer Prompt‑Injection‑Befehl: In der Abfrage‑Zeichenkette (Query‑String) des Browsers wird das Parameterfeld collection missbraucht, um schädliche Instruktionen einzuschleusen. Statt im Internet zu recherchieren, weist das manipulierte Prompt die KI an, ihr internes Gedächtnis und angebundene Services zu konsultieren.
Gefährlichkeit: Der Angriff erfordert weder gültige Zugangsdaten noch irgendeine Interaktion des Opfers. Der Angreifer muss lediglich eine präparierte URL verbreiten (z. B. per Phishing‑Mail oder Social‑Media‑Post). Sobald ein Zielnutzer die URL öffnet, führt Comet die schädlichen Befehle aus und liefert die Daten an den Angreifer.
Und was sagt Perplexity dazu: nix gefährlich, kein Fehler.

https://layerxsecurity.com/blog/cometjacking-how-one-click-can-turn-perplexitys-comet-ai-browser-against-you/

#infosec #ai #PromptInjection #Phishing #SocialMedia #BeDiS #perplexity #cometAI

QR code generators.
Why do you insist on using URL shortening services on a link that nobody is intentionally intended to ever type?

I assume it's for click rate tracking but it's not like there aren't other ways to do that without needing to obscure the destination.
#InfoSec #phishing #sysadmin

QR code generators.
Why do you insist on using URL shortening services on a link that nobody is intentionally intended to ever type?

I assume it's for click rate tracking but it's not like there aren't other ways to do that without needing to obscure the destination.
#InfoSec #phishing #sysadmin

Novo ciberataque “Shai-Hulud” propaga-se como um verme e compromete 187 pacotes npm
🔗 https://tugatech.com.pt/t71903-novo-ciberataque-shai-hulud-propaga-se-como-um-verme-e-compromete-187-pacotes-npm

#API #ataque #cascata #CD #CI #ciberataque #Github #google #javascript #linkedin #malware #npm #phishing #riscos #segurança #servidor #software 

Back in 2022, Walled Culture wrote about a legal case involving ad blockers. These are hugely popular programs: according to recent statistics, around one billion people use ad blockers when they are online. That’s a testament to the importance many people attach to being in control of their browser experience, and to a wide dislike of the ads they are forced to view. The 2022 case concerned […]

#accessibility #adBlockers #adblock #beethoven #bgh #competitionLaw #eu #eyeo #germany #mozilla #phishing #privacy #rembrandt #shakespeare #springer #surveillance #tracking

https://walledculture.org/top-german-court-says-maybe-the-web-should-be-more-like-television-in-order-to-protect-copyright/

Back in 2022, Walled Culture wrote about a legal case involving ad blockers. These are hugely popular programs: according to recent statistics, around one billion people use ad blockers when they are online. That’s a testament to the importance many people attach to being in control of their browser experience, and to a wide dislike of the ads they are forced to view. The 2022 case concerned […]

#accessibility #adBlockers #adblock #beethoven #bgh #competitionLaw #eu #eyeo #germany #mozilla #phishing #privacy #rembrandt #shakespeare #springer #surveillance #tracking

https://walledculture.org/top-german-court-says-maybe-the-web-should-be-more-like-television-in-order-to-protect-copyright/

A first on Mastodon 🚨
I receive this alert message suspending my account if I don't immediately follow the attached link, which is a payment form.

A first on Mastodon 🚨
I receive this alert message suspending my account if I don't immediately follow the attached link, which is a payment form.

Estem segurs aquí a #mastodonsocial.... no paren d'haver nous perfils #phishing

🤷🤷🤷🤷

Update verfügbar: #58 - Deine #Mails, dein digitales Zuhause

Bundesamt für Sicherheit in der Informationstechnik
Der Dreh- und Angelpunkt in unserem digitalen Leben ist unser #EMail-#Account: Über diesen melden wir uns beim #Onlineshopping oder bei Apps und Websiten an.

Und wir hinterlegen ihn, um Benutzerkennwörter zurückzusetzen.

Genau deshalb sind E-Mail-Accounts ein beliebtes Ziel von Hackern.

Wie diese vorgehen und welche #Schutzmaßnahmen es gibt, darüber sprechen Schlien und Hardy mit dem #BSI-Experten Alexander Härtel in dieser Folge von #UpdateVerfügbar.

Ihr erfahrt, wie die neuesten #Phishing-Methoden funktionieren und wie ihr überprüfen könnt, ob eure eigene E-Mail-Adresse missbraucht wurde. Dazu tauchen Schlien und Hardy tief in die dunklen Ecken ihrer eigenen E-Mail-Postfächer ein.
So könnt ihr leicht nachvollziehen, wo die Stolperfallen liegen. Überzeugt euch selbst!

Webseite der Episode: https://update-verfuegbar.podigee.io/61-e-mail

Mediendatei: https://audio.podigee-cdn.net/2082392-m-5fa84630292208857ca1b7e91b6ea85e.mp3?source=feed

@Tutanota
@mailbox_org
@startmail

Yeah, I don’t think that’s their address and they’d know how to spell information. #spam #phishing

There's a really disturbing #Paypal #phishing scam happening right now. Obviously this reads like a typical phishing attempt (bad grammar, a malformed phone number to call, etc), but the official Paypal email wasn't spoofed. It came from PayPal's email infrastructure.

Examining the headers shows that SPF, DKIM, and DMARC all pass. If you have a Paypal account, please exercise caution. Don't click links in these emails. Forward them to phishing@paypal.com.

Please boost for visibility.

Die werden auch immer dreister!
Jetzt kommt das Zeug schon per Post.

Phishing-Briefe mit gefälschtem QR-Code
Post

Aktuell versenden Betrüger per Post Phishing-Briefe, die einen QR-Code für eine angeblich erforderliche Aktualisierung von Daten bzw. Ihres TAN-Verfahrens enthalten. Tatsächlich führt dieser QR-Code auf eine Phishing-Seite.

Comdirect / Commerzbank

#Phishing-Briefe
#QR-Code
#Briefkasten

Die werden auch immer dreister!
Jetzt kommt das Zeug schon per Post.

Phishing-Briefe mit gefälschtem QR-Code
Post

Aktuell versenden Betrüger per Post Phishing-Briefe, die einen QR-Code für eine angeblich erforderliche Aktualisierung von Daten bzw. Ihres TAN-Verfahrens enthalten. Tatsächlich führt dieser QR-Code auf eine Phishing-Seite.

Comdirect / Commerzbank

#Phishing-Briefe
#QR-Code
#Briefkasten

I hear crytpotulip based phishing scams are still a thing, so reprising "Your 'Forgotten' Blockchain Account Needing Reactivation? It's a Scam" https://nxdomain.no/~peter/forgotten_blockchain_account_scam.html from 2022 might be useful to some #crypto #cryptocurrency #cryptotulips #phishing #scam #cybercrime #fraud

I hear crytpotulip based phishing scams are still a thing, so reprising "Your 'Forgotten' Blockchain Account Needing Reactivation? It's a Scam" https://nxdomain.no/~peter/forgotten_blockchain_account_scam.html from 2022 might be useful to some #crypto #cryptocurrency #cryptotulips #phishing #scam #cybercrime #fraud