一种针对使用 Meta 平台进行广告宣传的企业的危险新型网络钓鱼活动已被发现。
这场骗局始于用户收到一封紧急邮件,声称 “您的广告已被临时暂停”,理由是涉嫌违反 Instagram 的广告政策以及包括《通用数据保护条例》(GDPR)在内的欧盟法规。
这些邮件让依赖社交媒体营销的企业立即产生担忧,促使他们点击邮件中包含的 “查看更多详情” 按钮,以便快速解决问题。
这些欺诈性邮件乍一看设计得像真的一样,带有 Instagram 的品牌标识,还使用听起来很官方的关于违规的措辞。
然而,仔细查看就会发现,这些邮件来自诸如 “noreply@salesforce.com” 等可疑域名,而非 Meta 的官方地址。
邮件中包含关于账户暂停和删除促销内容的威胁性语言,以制造紧迫感。Cofense 的研究人员发现,用户点击这个欺骗性链接后,会被重定向到一个看似可信但实则虚假的 Meta 商业页面,其网址为 “businesshelpmanager.com”,模仿了合法的 Meta 支持网站。
该页面警告称,如果不立即采取行动,账户将面临暂停和终止。
此次攻击尤为复杂之处在于其采用了双管齐下的账户接管手段。用户要么被引导进入一个虚假的支持聊天流程,要么得到逐步说明,声称能帮助恢复他们的账户访问权限。
在这两种情况下,最终目的都是一样的 —— 诱使用户将攻击者标记为 “SYSTEM CHECK” 的身份验证应用添加为其 Meta 商业账户的双因素身份验证方式。
聊天支持体验特别具有欺骗性,攻击者索要企业账户截图,解释所谓的违规行为,并向受害者索要个人信息。
在毫无戒心的用户看来,本报告中的所有这些互动似乎都是合法的。
攻击的技术细节
当受害者被指示点击一个 “激活系统检查” 按钮时,攻击达到高潮。该按钮会重置他们的会话,并在一个看似可信的网络钓鱼页面上提示他们输入 Facebook 密码。
攻击者创建了一个高度逼真的 Meta 认证系统复制品,以获取用户凭证。
这场活动使用了多个域名重定向以及复杂的社会工程技术,以绕过传统的安全措施。
根据 Cofense 的分析,攻击基础设施包括与网络钓鱼域名相关的几个 IP 地址,如 44.238.235.1 和 52.35.19.120。
为保护自身安全,对于声称来自 Meta 的邮件,务必核实发件人地址,在输入凭证前检查网址,如果你怀疑自己的广告账户存在问题,可通过官方渠道直接联系 Meta。
绝不要按照指示将未知的身份验证应用添加到你的账户,因为这会让攻击者即使在你之后更改密码的情况下仍能持续访问你的账户。
发表评论
您还未登录,请先登录。
登录