據 Bleeping Computer 網站披露，研究人員發現了一項大規模網絡釣魚活動。攻擊者濫用 Facebook 和 Messenger 引誘數百萬用戶訪問網絡釣魚頁面，誘騙用戶輸入帳戶憑據。

經研究人員分析，釣魚活動背后的操作者可以利用這些被盜賬戶，向用戶的朋友進一步發送釣魚信息，通過在線廣告傭金獲得了大量收入。

根據一家專注于人工智能的網絡安全公司 PIXM 稱，釣魚活動至少從 2021年 9 月就開始活躍，在 2022 年 4 月至 5 月達到頂峰。

PIXM 通過追蹤威脅攻擊者，繪制了釣魚活動地圖，發現其中一個被識別出的釣魚網頁承載了一個流量監控應用程序（whos.amung.us）的鏈接，該應用程序無需認證即可公開訪問。

大規模的濫用

目前，尚不清楚釣魚活動最初是如何開始的，但 PIXM 表示，受害者是通過一系列源自 Facebook 、Messenger 的重定向到達釣魚登陸頁面的，在更多的 Facebook 賬戶被盜后，威脅攻擊者使用自動化工具向被盜賬戶好友進一步發送釣魚鏈接，造成了被盜賬戶大規模增長。

另外，雖然 Facebook 有自身保護措施，可以阻止釣魚網站 URL 的傳播，但威脅攻擊者使用某個技巧，繞過了這些保護措施。

再加上，釣魚信息使用了 litch.me、famous.co、amaze.co 和 funnel-preview.com 等合法的 URL 生成服務，當合法的應用程序使用這些服務時，阻止這些服務成為了一個很難解決的問題。

網絡釣魚活動中使用的一些 URL(PIXM)

值得注意的是，研究人員未經身份驗證，成功訪問了網絡釣魚活動統計頁面，經過對數據信息分析后發現，在 2021 年，有 270 萬用戶訪問了其中一個網絡釣魚門戶，這個數字在 2022 年上升到 850 萬，側面反映了釣魚活動在大規模增長。

通過深入研究，研究人員確定了 405 個用作釣魚活動標識符的獨特用戶名，每個用戶名都有一個單獨的 Facebook 網絡釣魚頁面，這些釣魚網頁的頁面瀏覽量從只有 4000 次到數百萬次不等，其中一個頁面瀏覽量更是高達 600 萬次。研究人員認為，這 405 個用戶名僅僅占釣魚活動所用賬戶的一小部分。

已識別的傳播用戶樣本 (PIXM)

另外，研究人員披露，當受害者在釣魚網站的登陸頁面上輸入憑證后，新一輪重定向就會開始，立刻將用戶帶到廣告頁面、調查表等。

一個向釣魚用戶展示的廣告 (PIXM)

威脅攻擊者能夠從這些重定向中獲得推薦收入，在這種如此大規模的釣魚活動中，估計能有數百萬美元的利益。

追蹤威脅攻擊者

值得一提的是，PIXM 在所有登陸頁面上都發現了一個通用代碼片段，其中包含一個是對已被查封網站的引用，該代碼片段是對名為 Rafael Dorado 的哥倫比亞男子調查的一部分。

目前尚不清楚是誰查封了該域名并在網站上發布了通知。通過反向 whois 查詢，指向了倫比亞一家合法的網絡開發公司和提供 Facebook “like bots” 和黑客服務的舊網站鏈接。

PIXM 已經和哥倫比亞警方與國際刑警組織分享了調查結果，同時強調盡管許多已識別的 URL 已下線，但釣魚活動仍在進行中。

參考文章：https://www.bleepingcomputer.com/news/security/massive-facebook-messenger-phishing-operation-generates-millions/