用于窃取 Google 和 Facebook 广告帐户的虚假 Calendly 邀请

网络犯罪分子正在实施复杂、长期的网络钓鱼操作，使用虚假的 Calendly 邀请（伪装成来自全球主要品牌）来窃取 Google Workspace 和 Facebook Business 帐户凭据。

该活动由 Push Security 的网络安全研究人员发现，依靠完善的社会工程和先进的检测规避技术来渗透高价值的广告平台。

参见：CoPhish 攻击利用 Copilot Studio 代理窃取 Microsoft OAuth 令牌

骗局是如何运作的

攻击始于一封多阶段网络钓鱼电子邮件，该电子邮件似乎来自一家知名公司的合法招聘人员。这些消息包括看似正常的 Calendly 链接，用于安排采访或通话。其中许多电子邮件通常经过精心设计，据信是由人工智能生成的，并根据从公共来源获取的个人详细信息进行定制。

安全部门表示，攻击者冒充了超过 75 家公司，包括迪士尼、联合利华、乐高、万事达卡、Uber 和 LVMH。

“这种方法是有意为之的。多阶段消息可能旨在击败电子邮件内容扫描工具，寻找包含请求紧急响应的链接的消息，”研究人员在博客文章中写道周二发布。

一旦受害者做出回应，攻击者就会发送一个 Calendly 风格的日程安排链接来“预约电话”。该链接会指向托管在攻击者控制的服务器上的虚假 Calendly 页面。完成验证码检查并选择“继续使用 Google”后，用户将被重定向到中间对手 (AiTM) 网络钓鱼页面，该页面模仿 Google 的登录屏幕并窃取 Google Workspace 凭据（包括活动会话令牌）。

Push Security 证实，攻击者专门针对 Google Ads Manager (MCC) 帐户，该帐户允许从单个仪表板访问多个客户广告帐户，这使得它们非常有价值。

多种变体同时针对 Google 和 Facebook 帐户

研究人员发现了至少 31 个与该活动相关的独特网络钓鱼 URL。他们发现了该攻击的几种变体，例如以 Google 为中心的变体欺骗 LVMH、乐高、万事达卡和 Uber 的招聘人员； Facebook Business 帐户变体冒充迪士尼和联合利华等品牌；还有一种针对 Google 和 Facebook 的新混合变体，使用“浏览器中的浏览器”攻击，显示带有真实 URL 栏的虚假登录弹出窗口。

为了避免检测，这些网络钓鱼页面会阻止 VPN/代理连接、阻止访问者打开开发人员工具并隐藏恶意元素，除非使用正确的目标电子邮件域。

恶意广告攻击又增加了一层

Push Security 还观察到针对 Google Ads Manager 帐户的单独恶意广告活动，搜索“Google Ads”的用户会看到恶意赞助广告，导致他们进入相似的 Google 登录页面。这些广告通过 Odoo 和 Kartra 等平台托管。

由于这些广告平台可以根据地理位置、域过滤器和设备类型进行精确定位，因此攻击者可以专门针对特定组织或行业制定“水坑”活动。

组织现在应该做什么

安全专家建议立即采取措施降低风险：

• 验证所有 Calendly 链接— 仅信任来自 com 或 app.calendly.com 的 URL。
• 启用硬件安全密钥对于 Google 和 Facebook 帐户，因为 AiTM 攻击可以轻松绕过 SMS 和基于应用程序的 MFA。
• 拖动任何登录弹出窗口— 如果它们无法移出浏览器框架，则可能是浏览器中的假浏览器窗口。
• 经常审核广告帐户适用于新管理员、新付款方式或意外的营销活动。
• 执行严格的身份和条件访问策略适用于管理广告的团队。
• 询问机构和第三方具有使用硬件 MFA 的广告访问权限和有限的登录位置。

持续发展的活动

Push Security 指出，此次行动背后的攻击者不断完善他们的策略，采用新的网络钓鱼风格和规避方法。随着恶意广告和 AiTM 变得越来越普遍，并且凭证在网络犯罪市场上变得越来越有价值，专家警告说，广告管理帐户仍将是主要目标。