最新臉書釣魚手法曝光 駭客利用官方轉址服務來騙取帳密

記者孫敬／編譯

最近網路上出現一種釣魚攻擊，目標鎖定全球臉書使用者，試圖透過惡意電子郵件竊取登入憑證。攻擊者不僅偽造了官方郵件，更濫用了臉書自身的外部網址警告系統，讓惡意連結看似無害，成功規避了使用者與安全掃描器的警覺。

在惡意郵件內容中，通常以「未經授權的登入嘗試」或「需要驗證帳戶活動」，信中甚至包含官方社群媒體圖標和版權聲明，增加了真實性來誘導收件人點擊。

延伸閱讀：ChatGPT 也能騙過CAPTCHA？AI助理的「人性弱點」如何成為資安新破口

以假亂真的官方轉址服務，如何騙過你我的眼睛？

這項攻擊手法，利用臉書自身的facebook.com轉址服務作為感染媒介。SpiderLabs的分析師在檢查數十封郵件樣本後發現，這些惡意網址都遵循著一個規律；它們看似正常的網域，卻會先經過臉書的轉址服務（例如httpst.co/MS24b2xu6p），再將受害者導向攻擊者的伺服器。

當使用者點擊這個惡意連結時，臉書的網頁會先跳出一個警告，但最終仍會將使用者轉發到偽造的釣魚網站，這一步驟巧妙地利用了使用者對臉書官方網域的信任，讓他們誤以為目的地是安全的，從而降低了警惕。

🚨#PhishingAlert: We spotted a new #Facebook #phishing campaign abusing the platform’s external URL warning system (https://t.co/MS24b2xu6p). Attackers use this redirect to make links appear legitimate, luring victims to fake login portals that harvest credentials. Emails are… pic.twitter.com/YexCmbIl9z

— SpiderLabs (@SpiderLabs) September 17, 2025

一旦進入釣魚網站，受害者會看到一個與臉書登入頁面幾乎一模一樣的介面。使用者輸入帳號與密碼後，這些資訊會立即被傳送到攻擊者的伺服器。為了進一步降低懷疑，偽造的登入頁面會在接收到憑證後，顯示一個「密碼錯誤」的提示，並要求使用者重新輸入。在第二次輸入後，攻擊者便成功竊取到正確的帳號資訊。

這場攻擊活動橫跨多個語言，包括英文、德文、西班牙文和韓文，被竊取的資料包括電子郵件地址、電話號碼和密碼，這些都儲存在攻擊者的伺服器上，供日後濫用。

資料來源：Cyber Security News