主编按 (Editor’s Note):近期,一种新型钓鱼手段正在跨境圈肆虐。攻击者巧妙利用 Google 官方服务发送钓鱼邮件,完美绕过常规拦截,直达受害者收件箱。目前已有上万个高价值 Facebook 广告账户因此失窃。请所有出海操盘手务必仔细阅读本期预警,升级团队安全风控基建。
一个通过滥用备受信任的谷歌(Google)服务进行网络钓鱼黑产行动,成功劫持了数以万计的 Facebook 账号。
这些被攻破的 Facebook 账号包含企业主页和广告账户。 犯罪分子在获取访问和控制权后,能够迅速将这些高价值资产变现。
攻击者找到了一种能“通过 Google”发送钓鱼邮件的漏洞,让这些邮件乍看之下极其正规。 由于这些邮件是通过 Google 的无代码平台 AppSheet 发送的,它们能够完美绕过常规的技术安全校验(如 SPF、DKIM 和 DMARC 协议),导致许多主流的邮件过滤器直接将其标记为“受信任邮件”并予以放行。
这种钓鱼方式的可怕之处是他们的邮件百分百会进到收件箱里,而普通的钓鱼邮件因为权重和安全性的问题往往会进到垃圾箱里,并不会有太大危害。
Google AppSheet 本是一个无代码开发平台,用户无需写代码就能构建移动端和网页端应用。 它通常被企业用来自动化工作流、发送应用警报和内部更新通知。
网址:https://about.appsheet.com/home/
而这正是钓鱼团伙钻空子的地方。 发件人名称可以被随意自定义,发件地址看起来可能像 [email protected],并且通过 appsheet.bounces.google.com 服务器进行投递。 对于普通用户来说,这看起来就像是一封再正常不过的官方通知邮件。 在这次的攻击中,邮件内容通常伪装成 Facebook 政策违规警告、版权投诉或账号验证通知。
研究人员已将这些钓鱼邮件溯源至一个带有越南背景的黑产团伙。 该团伙目前依然非常活跃,并且已经导致约 3 万个 Facebook 账号失窃。
被盗的账号绝大多数是具有直接经济价值的主页和企业资料,包括:广告账户、品牌主页以及依赖 Facebook 进行营销的出海企业。 一旦潜入后台,攻击者就会利用这些账号实施网络诈骗、投放欺诈性违规广告,或者将账号的高级权限直接打包出售给其他黑产人员。 更离谱的是,在某些案例中,这个团伙甚至还“贼喊捉贼”,兜售所谓的“账号恢复”服务,来解决他们自己造成的账号异常。
无论他们抛出的诱饵是什么,其最终目标始终如一:窃取您的 Facebook 登录凭证、双重认证(2FA)代码以及账号恢复数据。 钓鱼网站仅仅是个入口,在这些网站背后,隐藏着一套相当庞大且工业化的黑色基础设施,他们利用 Telegram 机器人和专属频道,对窃取来的数据进行实时的自动化收集和处理。
钓鱼邮件示例:
邮箱里的页面是托管在Vercel上,在页面中骗子伪造了facebook的页面,诱导用户填写账号密码和2fa验证码。
防骗指南:
Facebook 绝对不会通过 Google 的基础设施来向你发送投诉、验证请求、安全检查、工作邀约或其他紧急通知。
Facebook 官方电子邮件地址
- meta.com(包括 account.meta.com)
- facebookmail.com(包含 priority.facebookmail.com)
- facebook.com(包括 support.facebook.com 和 developers.facebook.com)
- fb.com
- metamail.com(包括 global.metamail.com)
但请注意任何拼错的版本,因为有可能是有人冒充 Facebook。
- 警惕倒计时威胁: 任何声称您的 Facebook 或 Instagram 账号即将被停用、锁定或受罚的邮件,都需要您打起十二分精神,尤其是那些威胁您必须在“24小时内”采取行动的邮件,99%都是诈骗。
- 不点不明链接: 如果您收到了让人焦虑的账号异常通知,请直接在浏览器中手动输入 facebook.com,或打开官方 Facebook App 去后台系统通知里查看。 绝对不要点击邮件里附带的任何链接。
- 拒绝“查户口式”表单: 如果某个申诉表单要求您一次性提交账号密码、多个 2FA 验证码、出生日期、电话号码甚至身份证照片,请立刻关闭页面! 因为这正是攻击者彻底“血洗”并接管您账号所需的“完整资料包”。
- 做好基础风控: 务必为 Facebook 账号开启双重认证(2FA),并设置针对未知设备和异地登录的安全警报。
- 熟人也要防: 对于来自 Facebook 好友或合作伙伴的异常消息(比如索要验证码或发送奇怪链接),请保持高度警惕。 他们的账号很可能已经沦陷了。