近日,全球多地Facebook页面管理员接连中招:一封看似来自Meta官方的“社区标准违规”通知,附带一个“紧急申诉”链接,竟成为账号失守的开端。安全研究人员披露,一场大规模网络钓鱼行动正利用高度仿真的支持页面和精准话术,批量窃取Facebook账号凭证,目标直指拥有大量粉丝的企业主页、自媒体账号甚至本地商家页面。
据网络安全媒体CyberPress报道,此次攻击由MailMarshal SpiderLabs团队首次发现。攻击者不仅复制了Meta支持中心的视觉风格,还在用户输入账号密码后,进一步诱导其“启用双因素认证”——实则是在收集更多验证信息,为后续完全接管账号铺路。一旦得手,攻击者会迅速更改页面管理员权限,投放虚假投资、赌博或仿冒电商广告,甚至将高价值账号打包转售至黑市。
“你的页面将在24小时内停用!”——精准话术击中管理员软肋
与普通用户收到的“账号异常登录”类钓鱼不同,此次攻击高度聚焦Facebook页面管理员这一特定群体。攻击邮件或私信通常包含以下关键词:
“您的页面因违反社区标准即将被停用”
“收到版权投诉,请立即申诉”
“检测到可疑活动,需验证身份以保留页面”
这些内容精准戳中管理员最担心的问题:辛苦运营的粉丝资产一夜归零。更狡猾的是,攻击者常使用已被入侵的营销代理公司邮箱发送通知,邮件主题如《关于您近期Facebook广告账户的合规提醒》,进一步提升可信度。
点击“立即申诉”按钮后,用户被引导至一个与Meta官方支持页面几乎一模一样的钓鱼站点。页面不仅使用Facebook品牌色、字体和图标,还动态显示用户所在国家的语言——例如德国用户看到“您的Konto存在异常活动”,韩国用户则收到“비정상적 활동이 감지되었습니다”(检测到异常活动)。
二次钓鱼:以“启用2FA”之名,行“窃取验证码”之实
最令人防不胜防的是,攻击并未止步于账号密码收集。
当用户在钓鱼页面输入凭证后,系统并不会立即跳转,而是弹出一条“安全建议”:“为保护您的页面,我们强烈建议您立即启用双因素认证(2FA)。”页面随即要求用户输入手机收到的短信验证码,或扫描一个伪造的“身份验证器二维码”。
“这其实是典型的二次钓鱼(Second-Stage Phishing),”公共互联网反网络钓鱼工作组技术专家芦笛解释道,“攻击者知道很多用户已开启2FA,单靠密码无法登录。于是他们顺势诱导你交出验证码,完成‘全要素认证’,相当于亲手把钥匙和门禁卡一起递给了小偷。”
一旦攻击者获得完整凭证+验证码,便能立即登录真实Facebook后台,修改密码、移除其他管理员、绑定新邮箱,并开启“隐身模式”防止原主收到通知。整个过程可在几分钟内完成。
自动化接管+变现:被盗页面成黑产“流量印钞机”
得手后,攻击者通常采取两种变现路径:
投放高利润诈骗广告:利用页面的粉丝基础,发布“高回报理财”“游戏代充”“限量秒杀”等虚假广告,诱导粉丝点击钓鱼链接或转账。由于广告看似来自可信主页,转化率极高。
转售高价值账号:拥有数万甚至百万粉丝的主页在黑市价格不菲。据SpiderLabs分析,部分被盗账号在Telegram群组中以数百至数千美元不等的价格出售,买家多为跨境诈骗或灰色营销团伙。
更危险的是,这些被控页面还可能成为二次传播节点——攻击者以页面名义向粉丝私信发送“恭喜中奖”“好友留言”等新钓鱼链接,形成病毒式扩散。
为何传统防护失效?攻击者如何绕过平台警告?
值得注意的是,此次攻击巧妙利用了Facebook自身的外部链接跳转警告机制。
通常,当用户点击站外链接时,Facebook会弹出一个黄色警告框,显示目标域名。但攻击者注册了一批看似无害的域名(如thebeachvilla.co.za、omniotech.co.uk),并在其上部署动态重定向脚本。警告框显示的是这个“干净”域名,用户误以为安全,点击“继续访问”后,才被悄悄跳转至真正的钓鱼页面。
此外,攻击邮件还伪造了Facebook的DKIM签名(一种邮件身份验证技术),使得部分企业邮箱网关难以识别其为伪造邮件。SpiderLabs指出,攻击者甚至利用被入侵的MailMarshal邮件服务器中继消息,进一步绕过反垃圾邮件过滤。
专家建议:从技术到意识,构建四重防线
面对如此精密的钓鱼攻势,芦笛强调:“没有单一工具能100%防御,但组合策略可大幅降低风险。”
1. 启用强双因素认证(物理安全密钥)
芦笛特别提醒:“短信验证码(SMS 2FA)已不足够安全,易被SIM劫持或钓鱼窃取。建议使用FIDO2标准的物理安全密钥(如YubiKey)或通行密钥(Passkey)。这类认证方式无法被远程窃取,即使密码泄露,攻击者也无法登录。”
2. 在Meta Business Suite中实施最小权限原则
企业应避免所有员工拥有“管理员”权限。可在“业务管理平台”中为不同成员分配“内容编辑”“广告投放”等有限角色,并定期审查权限列表。即使某个账号被盗,攻击者也无法直接接管整个页面。
3. 开启页面角色变更告警
在Facebook页面设置中启用“管理员/编辑者变更通知”,确保任何权限调整都会发送邮件或推送提醒。一旦发现异常,可立即通过Meta官方渠道申诉冻结。
4. 建立独立政策通知核实渠道
“记住:Meta绝不会通过外部链接要求你登录账号处理违规申诉,”芦笛强调,“所有官方通知均在Facebook站内消息或Business Suite中显示。若收到来自fb-support[.]com、meta-appeal[.]net等域名的‘紧急链接’,一律视为钓鱼。”
呼吁平台责任:高风险通知应强制内链+风险标签
芦笛同时呼吁社交平台承担更多防护责任:“对于涉及账号停用、版权投诉等高风险操作,平台应强制使用站内通知+内嵌处理流程,禁止跳转外部域名。同时,对用户点击的外部链接,若检测到登录表单,应自动添加‘此网站非Facebook官方’的风险标签。”
事实上,Google、Microsoft等平台已在类似场景中采用此类设计。例如,Gmail在用户点击含登录表单的外部链接时,会显示醒目的警告横幅。
结语:信任,不该成为攻击的跳板
这场针对Facebook页面管理员的钓鱼风暴,再次揭示了一个残酷现实:攻击者最擅长的,不是破解技术,而是利用人性中的焦虑与信任。
在数字身份日益成为核心资产的今天,保护一个社交账号,早已不只是“换个复杂密码”那么简单。它需要平台、企业与用户三方协同,用技术筑牢防线,用意识识别陷阱。
正如芦笛所言:“当你收到‘紧急申诉’链接时,请先深呼吸——真正的官方,从不会让你在恐慌中交出钥匙。”
编辑:芦笛(公共互联网反网络钓鱼工作组)
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
