AccountDumpling 網路釣魚活動

網路釣魚年Mezo年

翻譯為：

一項名為「AccountDumpling」的大規模網路犯罪活動已被確認，該活動與一個與越南有關聯的威脅組織有關，並利用Google應用表格（Google AppSheet）作為網路釣魚中繼機制。該行動主要透過散佈欺騙性電子郵件來入侵Facebook帳戶，尤其是企業用戶的帳戶。

與傳統的網路釣魚活動不同，這並非一套靜態的工具包，而是一個動態且不斷演進的生態系統。它整合了即時操作面板、先進的規避技術以及結構化的獲利流程。被盜帳戶會被重新導入攻擊者控制的地下市場，形成一個自我維持的犯罪循環。此次活動中，約有3萬個Facebook帳號遭入侵。

攻擊鏈始於精心製作的釣魚郵件，這些郵件冒充Meta Support。郵件的目標用戶是Facebook企業帳號持有者，警告他們如果不立即採取行動，帳號將會被刪除。郵件中會敦促受害者透過嵌入的連結提交申訴。

該活動取得成效的關鍵因素之一是使用了合法的基礎設施。郵件從 Google AppSheet 位址（「noreply@appsheet.com」）發送，從而繞過了許多傳統的垃圾郵件和安全過濾器。這種策略提高了活動的可信度，並增加了用戶參與的可能性。

這些資訊傳遞出的緊迫感會將收件者引導至旨在竊取敏感憑證的詐騙網站。先前的攻擊活動中也觀察到了類似的攻擊模式，顯示攻擊者不斷改進並重複使用成功的攻擊手段。

攻擊者利用各種社會工程誘餌來引發恐慌，迫使使用者迅速做出反應。這些誘餌經過精心設計，旨在模仿合法的 Meta 通信，並利用人們的恐懼心理。

主要誘餌類別包括：

帳戶相關威脅：聲稱帳戶被暫停、侵犯版權或需要緊急驗證。
安全警報：可疑登入或強制安全檢查的通知
商業與地位獎勵：藍徽章認證優惠或高階主管招募機會
企業冒充：偽造知名品牌的招募訊息，以建立信任並啟動互動。

每一種誘餌都經過精心設計，旨在操縱使用者行為，增加憑證洩漏的可能性。

這項攻擊活動的特點是使用了多個託管平台和分發方式，每個平台和方式在資料收集和外洩過程中都發揮著特定作用。四個主要的攻擊集群包括：

Netlify託管的釣魚頁面：偽造的Facebook幫助中心入口網站，旨在竊取登入憑證、個人資料和政府頒發的身份證明。收集到的資料會傳送到攻擊者控制的Telegram頻道。
Vercel託管的「安全檢查」頁面：這些頁面模擬Meta隱私或安全門戶，並包含虛假的驗證碼挑戰。受害者會被要求重新輸入憑證並提供雙重認證 (2FA) 代碼，所有這些資訊都會被即時竊取。
Google 雲端硬碟託管的 PDF 誘餌：這些文件偽裝成官方驗證說明，將使用者重新導向到釣魚頁面，利用嵌入式腳本收集密碼、雙重認證程式碼、身分證照片，甚至瀏覽器螢幕截圖。
虛假招募流程：冒充大公司建立信譽，然後將用戶重新導向到惡意平台進行進一步互動和資料收集。

與這些集群關聯的Telegram頻道共包含約3萬筆受害者記錄。受影響者主要分佈在北美、歐洲、亞洲和澳大利亞，其中許多人已無法存取自己的帳戶。

關鍵的歸因證據來自嵌入在透過免費 Canva 帳戶產生的釣魚 PDF 文件中的元資料。這些文件將「PHẠM TÀI TÂN」列為作者，從而直接指向了可能對此次行動負有責任的個人。

進一步的開源情報顯示，一個名為「phamtaitan.vn」的網站與之相關，該網站推廣數位行銷服務。與該實體相關的公開聲明表明，其重點在於行銷資源和策略諮詢，這暗示其具備可用於合法或惡意目的的雙重技能。

這起事件揭示了網路犯罪的一個更廣泛趨勢：數位身分的商品化。被盜用的Facebook帳戶不僅是終端，更是蓬勃發展的地下市場中的寶貴資產。

攻擊者會根據業務關聯、廣告歷史記錄和恢復可能性等因素來交換帳戶存取權限。此次行動表明，Google AppSheet、Netlify、Vercel 等受信任平台正被重新利用，作為交付、託管和盈利的基礎設施層。

AccountDumpling 活動清楚地表明了現代威脅行為者如何將社會工程、雲端服務和地下經濟整合到一個具有凝聚力和可擴展性的網路犯罪企業中。

搜索