警方在调查中发现，此类骗局基本上都有一个共同点的特征：“做任务赚佣金”，而这里的“任务”指的就是：关注公众号、给抖音视频点赞、给网店刷销量。

一、小利诱惑

董某在家中收到一陌生男子的微信好友申请，通过之后，对方让其下载“气语”APP，称可以通过该平台“做任务赚佣金”，且不需投入任何本金。

董某下载注册之后，对方立马转给了她21.8元的佣金，随后引导她接任务赚钱：给指定抖音视频点赞加关注，每单可以赚取5元钱。

董某尝试性的做了45单，都拿到了佣金，不久对方便开始怂恿她接“优质联单任务”，也就是刷大单，但是与之前的小单不同，这种单需要自己垫付资金。

二、巨额投入

此时早已被欲望冲昏了头脑的董某，在老师的引导下，连续充值了四笔钱：1000元、10888元、58888元、188888元，用来在该平台下注赌博。

（所谓的刷大单就是在赌博平台下注）

正当董某要提现时，客服告诉她刚才信息填写错误，导致资金冻结，需要再缴50万元的解冻费，不然前面投入的资金也无法取回。

三、损失惨重

董某再次充值50万元，继续跟着导师操作，其账面上的资金也不断膨胀，达到了145万元，但当其再次申请提现时，依旧失败，客服又以缴纳保证金、税费、手续费等为由要求董某继续缴费。

（投入再多的钱都不可能提现）

最后董某又多次充值数笔大额资金，但最终都没有提现一分钱，累计损失125万元。

美国网络安全和基础设施安全局（CISA）最近发布了一项警告，根据现有证据，黑客正利用微软SharePoint中的提权漏洞，与另一个被评定为“关键”级别的漏洞相结合，从而能够远程执行任意命令。

这一漏洞的标识号为CVE-2023-29357，它允许远程攻击者使用虚假的JWT验证令牌来绕过身份验证，从而在未打补丁的服务器上获得管理员权限。微软解释称：“攻击者获取虚假JWT身份验证令牌后，可以利用这些令牌进行网络攻击，绕过身份验证，并获取已通过身份验证用户的权限。成功利用此漏洞的攻击者可以获得管理员权限。”

攻击者再结合着CVE-2023-24955的漏洞，这是一个影响SharePoint Server的远程代码执行漏洞，可以让他们在SharePoint服务器上注入命令并执行任意代码。去年3月，STAR实验室的研究员Jang（Nguyễn Tiến Giang）在温哥华的Pwn2Own竞赛中成功展示了这个Microsoft SharePoint Server漏洞链，并赢得了10万美元（折合约71.7万元人民币）的奖励。研究人员在去年9月25日发表了一份技术分析报告，详细描述了这一攻击过程。仅仅一天后，另一位安全研究人员也在GitHub上发布了CVE-2023-29357的概念验证漏洞。

文章来源 ：济南反诈中心