警惕新的、极其复杂的 Facebook 黑客攻击手段

近期发现一个复杂的网络钓鱼活动，直接针对 Facebook 用户。令人担忧的是，攻击者利用合法的 Google 服务绕过电子邮件保护系统，使用户难以察觉。KnowBe4 的网络安全专家就这一危险伎俩发出紧急警告。

根据 KnowBe4 的警告，网络犯罪分子正在利用谷歌的 AppSheet 平台（一款无代码应用程序开发工具）大规模传播钓鱼邮件。这些邮件通过谷歌的合法“@appsheet.com”地址发送，轻松绕过 SPF、DKIM 和 DMARC 等域名身份验证机制以及微软的电子邮件安全网关 (SEG)。这使得钓鱼邮件能够直接出现在用户的收件箱中，而不会被标记为危险邮件。

值得注意的是，每封电子邮件都会生成一个唯一的ID代码，这使得传统的检测系统难以识别和阻止。

这封邮件声称是来自 Facebook 的通知，指控用户侵犯知识产权，并警告其账户将在 24 小时内被删除。邮件中包含一个“提交申诉”按钮，旨在营造一种紧迫感。点击后，用户将被带到一个模仿 Facebook 登录界面的网站，该网站托管在 Vercel 平台上——Vercel 是一家信誉良好的服务商，专门托管现代 Web 应用程序。这使得该骗局更具说服力。

在虚假网站上，如果受害者输入登录名和双因素身份验证 (2FA) 代码，所有信息都会直接发送给攻击者。这种伎俩更加巧妙，首次登录时会故意报告“密码错误”，迫使用户重新输入，以验证信息的准确性。

更危险的是，被窃取的双重身份验证代码会被黑客立即用于登录 Facebook 并控制账户。他们还会获取会话令牌，即使用户更改密码后，他们也能继续访问账户。

建议用户谨慎对待那些要求紧急行动或提供个人信息的电子邮件，即使这些邮件看似来自信誉良好的来源。网络安全专家强调：务必仔细检查发件人的地址，不要急于点击可疑链接，如果不确定网站的真实性，绝对不要输入登录信息。