虚假Meta页面用于发送逼真钓鱼邀请
研究人员发现,攻击者创建了与合法Meta资产几乎完全相同的虚假Facebook商务页面。一旦设置完成,他们利用Facebook的商务邀请功能发送看似真实的钓鱼邮件,因为这些邮件源自合法的facebookmail[.]com域名。
这种利用受信任发件人地址的方式使攻击者能够绕过传统安全过滤器,甚至欺骗警惕的用户。
这些邮件模仿真实的Facebook通知,带有紧急主题行,如"需要账户验证"或"Meta代理合作伙伴邀请"。每条消息都包含伪装成官方Meta重定向的恶意链接。当点击时,受害者会被发送到托管在vercel[.]app域名上的钓鱼页面,攻击者在此窃取Facebook商务凭证和其他敏感信息。
为验证此策略,Check Point研究人员进行了受控测试。他们创建了一个虚假的Facebook商务页面,添加了Meta风格的品牌标识,并使用平台内置的邀请功能发送测试通知。结果证实,Facebook的基础设施确实可以被利用来传递看似完全合法的钓鱼内容。
超4万封钓鱼邮件利用Meta工具瞄准中小企业
根据Check Point的遥测数据,超过4万封钓鱼邮件被分发给北美、欧洲和亚太地区超过5000家组织。虽然大多数企业收到的邮件少于300封,但仅一家组织就遭到超过4200条消息的攻击。
该活动主要针对中小型企业——包括汽车、房地产、酒店、教育和金融等行业——这些团队严重依赖Meta工具进行广告和客户互动。由于这些行业的员工习惯于接收合法的"Meta商务"通知,欺诈性消息很容易混入其中,增加了被攻破的可能性。
攻击设计反映了基于模板的大规模钓鱼活动,优先考虑广泛分发而非精确 targeting。然而,使用Facebook的合法域名使这些邮件比典型的垃圾邮件危险得多。
当受信任域名成为攻击向量
此活动说明攻击者正从创建欺骗域名转向滥用合法服务。通过在Meta验证系统内发送钓鱼消息,威胁行为体默认获得可信度——实质上武器化了用户对主要平台已有的信任。
这种方法暴露了许多企业防御的主要盲点。传统电子邮件过滤器通常依赖域名声誉和SPF、DKIM等身份验证检查。由于钓鱼消息是从经过验证的Meta域名发送的,这些保护措施无效。
研究结果还引发了关于平台责任的更广泛问题。如果威胁行为体可以操纵像Meta商务套件这样的合法工具来分发钓鱼邮件,这凸显了主要技术提供商需要加强内部保护措施和滥用预防机制。
构建更强的网络钓鱼攻击防御
为防御利用受信任平台的钓鱼活动,组织必须采取主动的分层安全方法:
- 通过定期培训和钓鱼模拟教育用户,帮助他们识别欺骗性消息,即使是那些看似来自受信任域名的消息
- 实施先进的AI驱动电子邮件安全和检测工具,能够识别可疑行为和异常消息模式
- 启用多因素认证(MFA)并执行最小权限和条件访问策略,以限制账户泄露风险
- 在采取行动前验证URL、发件人详细信息和嵌入链接,并通过官方网站直接访问Meta商务账户
- 通过强制执行DMARC、DKIM和SPF策略加强电子邮件和域名安全,并标记外部消息以提高用户意识
- 建立清晰的报告和事件响应(IR)程序,监控异常登录活动,并为受感染账户维护备份和恢复计划
这些措施为长期网络韧性奠定了基础。
此活动不仅仅代表另一波钓鱼攻击——它标志着攻击者利用受信任平台逃避检测的趋势日益增长。这种转变强调了对零信任工具的需求,这些工具有助于验证每个用户、设备和连接——无论它们看起来多么合法。