新型钓鱼活动利用Meta商务套件攻击全球中小企业

根据Statista数据，Facebook作为全球最具影响力的社交平台拥有超过54亿用户，也是中小企业重要的营销渠道。其广泛的覆盖范围和受信任的品牌形象使其成为攻击者的主要目标，当钓鱼活动滥用Facebook名义时，后果可能尤为严重。

Check Point的邮件安全研究人员最近发现了一个大规模钓鱼活动，滥用Facebook商务套件和facebookmail.com功能发送看似直接来自Meta的虚假通知。这种方法使他们的活动极具说服力，能够绕过许多传统安全过滤器，展示了攻击者如何利用对知名平台的信任。

超过4万封钓鱼邮件被分发给5000多家客户，主要分布在美国、欧洲、加拿大和澳大利亚，针对严重依赖Facebook进行广告投放的行业，包括汽车、教育、房地产、酒店和金融。

活动运作机制

攻击始于网络犯罪分子创建虚假的Facebook商业页面。这些页面通过修改徽标和名称来密切模仿官方Facebook品牌。一旦创建完成，攻击者使用商务邀请功能发送看似官方Facebook警报的钓鱼邮件。

关键的是，这些消息来自合法的facebookmail.com域名。大多数用户被训练不信任看起来奇怪的发件人地址，但在这种情况下，电子邮件来自他们熟悉和信任的域名。因此，钓鱼消息更具说服力。

这些邮件被精心制作成与真实的Facebook通知完全相同。它们使用紧急语言，例如：

每封邮件都包含伪装成官方Facebook通知的恶意链接。一旦点击，受害者将被重定向到托管在vercel.app等域名上的钓鱼网站，旨在窃取凭据和其他敏感信息。

图片1：我们捕获的真实钓鱼邮件示例

为了验证攻击方法，我们的研究团队进行了内部实验，展示了Facebook商务邀请功能被滥用的容易程度。我们创建了一个虚假的商业页面，在其名称中嵌入了消息和链接，应用了Facebook风格的徽标，并使用平台的邀请机制分发测试消息。

图片2：用户从我们的测试商业页面收到的钓鱼邮件示例

Check Point的遥测数据显示，大约4万封钓鱼邮件被发送给客户群。虽然大多数组织收到的邮件少于300封，但仅一家公司就被轰炸了超过4200条消息。

几乎相同的邮件主题和结构的重复表明这是一个模板驱动的大规模活动，旨在实现广泛曝光和更高的点击率，而不是有针对性的鱼叉式钓鱼努力。

该活动主要针对中小型企业和中型市场企业，少数大型知名公司也受到影响。这些行业，特别是那些依赖Meta平台进行客户互动的行业，是理想目标，因为他们的员工经常收到真实的"Meta商务"通知，因此更可能信任此类消息。

这使得钓鱼邮件能够从真实的facebookmail.com域名发出——使它们极具说服力且难以被自动系统标记为可疑。

Check Point研究人员在受控实验中复制了该技术，确认了商务邀请功能可以多么容易地被操纵以发送带有嵌入式恶意链接的欺骗性邮件。

此活动强调了一个日益增长的趋势，即网络犯罪分子武器化合法服务以获得信任并绕过安全控制。虽然邮件数量可能暗示了一种撒网式方法，但发件人域名的可信度使这些钓鱼尝试比普通垃圾邮件危险得多。

该活动突出了威胁态势中的几个重要趋势：

利用对主要平台的信任：攻击者正在超越伪造域名，现在利用广泛使用平台的内置功能。通过隐藏在Facebook的合法基础设施后面，他们获得了即时可信度。
绕过传统防御：许多邮件安全系统严重依赖域名声誉和发件人验证。当恶意消息来自像facebookmail.com这样的受信任域名时，这些防御常常失败。
引发平台责任问题：此活动引发了重要问题，即科技巨头是否在防止其商业工具被滥用方面做得足够。如果攻击者可以操纵合法功能发起钓鱼攻击，用户和组织仍然面临重大风险。

虽然像Facebook这样的平台解决这些安全漏洞至关重要，但组织和个人也必须采取主动措施来降低风险。

Check Point已升级SmartPhish以检测和阻止这种特定类型的Meta主题钓鱼尝试。持续监控和AI驱动的分析现在能够更早地检测利用受信任域名的钓鱼邮件。

钓鱼将继续发展，此活动展示了一个令人担忧的趋势：攻击者越来越多地转向合法服务和受信任品牌作为其攻击载体。作为防御者，我们必须重新思考如何识别和阻止恶意活动，超越传统过滤器，转向更全面的方法，考虑意图、行为和上下文。