自2025年3月以來，KnowBe4 Threat Labs團隊觀察到一波利用Google的AppSheet平台發起的釣魚攻擊激增，這些攻擊展開了一場針對性極強且相當精密的行動，偽裝成社交媒體平台巨頭Meta。

利用最先進的技術，如多型識別碼、進階的中間人代理機制，以及多重身份驗證繞過技術，攻擊者的目的是竊取使用者的憑證和雙重身份驗證（2FA）代碼，從而實現社交媒體帳號的即時存取。

自2025年3月以來，最大的高峰出現在2025年4月20日，當天由KnowBe4 Defend識別並中和的全球釣魚郵件中，有10.88%來自AppSheet。在這些郵件中，98.23%假冒Meta，而其餘的1.77%則假冒PayPal。

釣魚攻擊活動概述
本次活動中分析的所有攻擊皆由 KnowBe4 Defend 識別並中和，並由我們的 Threat Labs 團隊進行進一步調查。 

攻擊者利用了 AppSheet，這個受信任的 Google 擁有的平台及其工作流程自動化功能，來大規模散播釣魚郵件，實現了無需人力的廣泛分發。這些郵件來自於 [email protected]，這是一個合法的域名，使得他們能夠躲過依賴域名聲譽和驗證檢查（如 SPF、DKIM、DMARC）的 Microsoft 和安全郵件閘道（SEGs）。

除了利用合法的網域，這個活動還假冒了Meta（Facebook），使用偽造的品牌形象和緊急的語言—例如關於帳號刪除的警告—來施加壓力，促使收件人立即行動。使用像Meta這樣的受信品牌有助於降低懷疑並提高用戶參與度，使得釣魚郵件及後續的憑證竊取網站顯得更具可信性。 

範例：透過 AppSheet 發送的釣魚郵件

釣魚電子郵件截圖，冒充 Meta，透過 AppSheet 發送，並附加 KnowBe4 反釣魚標籤

以上的範例是一封透過 AppSheet 發送的釣魚郵件，假冒 Meta 的身分。這封郵件以「Facebook 支援團隊」的名義出現，利用 AppSheet 正式的寄件地址[email protected]，成功繞過常見的郵件驗證協議，如 SPF、DKIM 和 DMARC。

這不僅有助於消息避免被技術性檢測，還能提升其在收件者眼中的可信度，因為看起來是來自一個值得信賴的平台。這封釣魚郵件模仿了Meta的品牌形象，包括一個可信的電子郵件簽名，讓它顯得更真實—儘管所有的底部連結都無法使用。

此外，這個活動非常依賴社會工程技術，利用詐騙手法讓收件人點擊一個惡意連結，這個連結假裝成「提交申訴」的按鈕。電子郵件虛假聲稱收件人的社群媒體帳號因為違規而面臨刪除，並使用感性的語言和緊迫的24小時期限來創造緊迫感。標題如「侵犯知識產權已導致您的帳號被刪除」等，使焦慮感加劇，進而提高用戶互動的可能性。

為了進一步逃避偵測並增加修復難度，攻擊者利用 AppSheets 的功能來生成獨特的識別碼，這些識別碼在電子郵件中顯示為個案識別碼 (Case IDs)。每封釣魚郵件中都有獨特的多形識別碼，確保每則訊息都有些許不同，有助於他們繞過依賴靜態指標（如雜湊值或已知惡意網址）的傳統偵測系統。此外，由於缺乏一致的識別碼，這對 IT 團隊來說也是一大挑戰，使得廣泛的修復和過濾變得相當困難。

如果收件人點擊釣魚郵件中的連結，他們會被引導至一個精心設計的網站，目的是要竊取他們的帳號資訊和兩步驟驗證代碼。該網頁一開始顯示一個動畫的 META 標誌，並擁有一個高度精細的設計，模仿合法的 Facebook 介面，旨在降低收件人的懷疑。一旦頁面完全加載，它會虛假地聲稱用戶的帳號面臨被刪除的風險，並提供一次上訴的機會。

這個網站託管在 Vercel 上，這是一個以託管現代網頁應用程式而聞名的可信平台。這個策略性選擇增強了網站的可信度，幫助惡意連結繞過許多傳統的網址聲譽檢查。

惡意釣魚網站的截圖，偽裝成 Meta for Business

模仿Meta的憑證竊取表單截圖

模擬Meta的2FA收集表單截圖  

該網路釣魚網站採用了幾種進階的策略，以提高攻擊的效能並確保成功竊取用戶憑證。

其中一種方法是要求雙重輸入憑證。在使用者輸入他們的密碼和 2FA 驗證碼後，網站虛假聲稱第一次嘗試是錯誤的，並促使使用者再試一次。這樣做有多個目的：一是增加獲取準確資訊的可能性，因為它鼓勵使用者重新輸入他們認為輸入錯誤的資料；二是造成混淆和緊迫感，降低受害者批判性思考的能力；三是提供資料冗餘，讓攻擊者可以比較不同的輸入，並在使用之前確認憑證的有效性。

此外，這個釣魚網站似乎操作為一個中介代理伺服器。當使用者提交他們的登入資訊和二次驗證（2FA）代碼時，該網站會立即將這些資料即時轉發到合法的服務，例如 Facebook。這讓攻擊者可以劫持會話並獲得有效的會話令牌，從而有效繞過二次驗證，並立即獲取使用者的帳戶存取權。

偵測進階釣魚威脅

利用 AppSheet 的行為是更廣泛趨勢的一部分，這種趨勢是透過合法服務繞過傳統電子郵件安全檢測；這一模式我們的 Threat Labs 團隊在近期對其他服務的分析中也有觀察到，包括 Microsoft、Google、QuickBooks 和 Telegram。

這種戰術結合了高級的偽裝、竊聽技術以及社會工程學，使得這個攻擊行動相當先進，並旨在突破Microsoft 365及SEGs所使用的偵測技術。

因此，許多組織正轉向整合雲端電子郵件安全產品（如 KnowBe4 Defend），這些產品運用人工智慧來偵測進階的釣魚威脅，並防止員工點擊惡意的超連結和附件。此外，基於威脅的意識教育和訓練，包括將真實的釣魚電子郵件轉化為訓練模擬（例如透過 KnowBe4 PhishER），幫助員工了解他們最有可能面對的釣魚攻擊。