基于 Google 云服务滥用的 Facebook 钓鱼攻击技术分析与防御研究

摘要

2026 年 5 月，Guardio Labs 曝光代号 AccountDumpling 的跨境钓鱼攻击行动，该行动滥用 Google AppSheet 与 Google Drive 基础设施，针对 Facebook 商业账户实施定向钓鱼，已造成全球超 3 万名用户账户沦陷，形成窃取 — 转售 — 欺诈的完整黑色产业链。本文以该事件为实证样本，系统剖析攻击组织利用合法云服务绕过 SPF、DKIM、DMARC 邮件认证体系的技术机理，拆解 Netlify 克隆站点、同形字符混淆、实时 WebSocket 交互劫持 2FA、虚假招聘引流四大攻击集群的实现路径，给出可工程化的检测代码与防御配置方案。研究表明，依托可信基础设施的钓鱼攻击可使传统网关检测失效，需构建邮件认证增强、URL 智能解析、实时会话监控、用户认知强化的闭环防御体系。反网络钓鱼技术专家芦笛强调，应对云服务滥用型钓鱼必须从单一技术防护转向全链路协同治理，通过平台责任、技术检测、用户行为的三维联动，提升数字身份安全的整体韧性。

1 引言

随着无代码平台与云服务的普及，攻击者正从伪造域名、感染主机等传统路径，转向滥用合法基础设施实施钓鱼攻击。此类攻击借助官方域名、高信誉 IP 与标准化邮件接口，可轻易通过主流安全网关的身份校验，隐蔽性与成功率显著提升。2026 年曝光的 AccountDumpling 行动，以 Google AppSheet 为邮件分发通道、Google Drive 为恶意载体托管节点、Facebook 商业账户为核心目标，在全球范围内造成大规模身份泄露与账户劫持，暴露了云服务开放能力被恶意利用的重大安全风险。

现有研究多聚焦钓鱼页面识别、邮件内容过滤等单点技术，对合法云服务被定向滥用的攻击机理、链路特征与闭环防御缺乏系统性分析。本文基于 Guardio Labs 公开的攻击样本与技术细节，完整还原 AccountDumpling 攻击全流程，对四大攻击集群的技术实现、社会工程策略、逃逸机制进行深度拆解，提供同形字符检测、WebSocket 异常会话识别、AppSheet 邮件合规校验等可落地代码示例，提出覆盖云平台、企业网关、终端用户的协同防御框架，为应对同类高级钓鱼攻击提供理论参考与实践方案。

2 攻击事件概况与基础设施滥用机理

2.1 AccountDumpling 攻击基本态势

AccountDumpling 是由越南相关网络犯罪组织实施的定向钓鱼行动，核心目标为 Facebook 商业管理账户，通过伪造 Meta 版权投诉、账户封禁警告、蓝 V 认证、品牌招聘等诱饵，诱导用户泄露账号密码、身份证件照片与双因素认证码。截至 2026 年 5 月，该行动已导致全球超 30,000 名用户受害，其中 68.6% 来自美国，其次为英国、加拿大、意大利等国家。攻击数据通过 Telegram 机器人归集，形成账户窃取、权限转售、欺诈变现的专业化黑色产业链。

攻击组织的核心优势在于完全依托 Google 合法基础设施，所有钓鱼邮件发自 noreply@appsheet.com 与appsheet.bounces.google.com，由 Google 官方 MTA 投递，具备有效 SPF、DKIM 签名与 DMARC 对齐，可绕过绝大多数企业邮件安全网关与个人反垃圾邮件系统。反网络钓鱼技术专家芦笛指出，基于可信云服务的钓鱼攻击打破了 “域名合法 = 内容安全” 的传统防护逻辑，使基于身份认证的边界防护机制直接失效。

2.2 Google AppSheet 邮件机制与滥用原理

Google AppSheet 是面向业务自动化的无代码开发平台，支持自定义通知模板与邮件投递。攻击者注册普通 Google 账号后，创建恶意应用并配置触发式邮件，利用平台默认发信域名与服务器发送伪造 Meta 官方警告，实现身份伪装与逃逸。

2.2.1 邮件身份认证绕过机理

传统钓鱼邮件依赖伪造发件域或污染 IP，易被 SPF、DKIM、DMARC 拦截。AccountDumpling 完全复用 Google 原生认证体系：

SPF：发信 IP 属于 Google 官方 ASN 15169，命中_spf.google.com授权记录，校验通过；

DKIM：邮件由 Google 服务器自动签名，d=appsheet.com，签名有效；

DMARC：发件域与签名域完全对齐，策略执行无异常。

安全网关无法基于身份标识区分合法通知与恶意内容，导致攻击邮件直达用户收件箱。

2.2.2 攻击邮件内容构造特征

攻击邮件采用高压社会工程话术，典型内容包括：

主题：Urgent: Your Facebook Page Will Be Permanently Disabled；

正文：提示 24 小时内账户将被永久封禁，附伪造案件编号 Case ID: 6480258166；

按钮：嵌入 Verify Account、Submit Appeal 等诱导性链接；

样式：复刻 Meta 官方视觉规范，降低用户警惕。

此类内容结合合法发件身份，对商业用户具备极强迷惑性。

3 四大攻击集群技术实现与逃逸机制

AccountDumpling 采用多集群并行策略，针对不同用户群体设计差异化攻击路径，形成技术逃逸与社会工程的组合攻击。

3.1 Cluster A：Netlify 克隆站点钓鱼

攻击者使用 HTTrack 工具完整克隆 Facebook 帮助中心页面，托管于 Netlify 平台，构建高仿真申诉入口。用户点击后进入仿冒页面，被要求输入账号密码并上传身份证、护照等身份证明文件，数据实时回传攻击者服务器。

该集群的技术优势：

托管于合法公共云平台，域名具备基础信誉；

页面结构与官方一致，普通用户难以视觉区分；

同时窃取身份凭证与证件资料，可用于深度账户劫持与次生诈骗。

3.2 Cluster B：同形字符与零宽字符混淆逃逸

该集群以 Facebook 蓝 V 认证为诱饵，采用零字体混淆技术绕过内容过滤：

同形字符替换：使用西里尔字母а(U+0430) 替代拉丁字母 a (U+0061)；

零宽字符插入：在 URL 与文本中插入 U+200B 零宽空格，干扰关键词匹配；

视觉一致性：混淆后显示效果与官方域名无差异，机器检测易被绕过。

反网络钓鱼技术专家芦笛强调，同形字符与零宽字符组合攻击是当前钓鱼逃逸的主流手法，传统基于字符串匹配的检测规则命中率极低，需引入 Unicode 标准化与视觉相似度校验。

3.3 Cluster C：Google Drive PDF+WebSocket 实时劫持 2FA

该集群为最高级攻击模块，通过 Google Drive 托管恶意 PDF，内嵌跳转脚本，连接攻击者搭建的 WebSocket 实时控制台，实现人机实时交互劫持：

用户打开 PDF 触发跳转至仿冒页面；

前端建立 WebSocket 长连接；

攻击者实时对话，以客服身份诱导用户输入 2FA 验证码；

验证码实时回传，攻击者完成登录，劫持账户会话。

此方法可直接绕过双因素认证，是目前针对 MFA 最有效的钓鱼手段之一。

3.4 Cluster D：虚假招聘引流 WhatsApp 私域

攻击者伪造 Adobe、Apple、Coca‑Cola 等品牌招聘信息，以远程岗位、高薪 offer 为诱饵，将用户引导至 WhatsApp 私密对话。后续通过层层话术进一步骗取敏感信息或实施诈骗，形成公域引流 — 私域收割的闭环。

四大集群覆盖技术欺骗、利益诱惑、紧急胁迫、信任冒用等多维度场景，大幅提升攻击覆盖范围与成功率。

4 核心攻击技术解析与代码实现

4.1 同形字符与 Unicode 混淆检测

同形字符攻击利用不同编码字符视觉相似性实现伪装，需通过 Unicode 标准化与 ASCII 范围校验检测。

# -*- coding: utf-8 -*-

import unicodedata

def check_homograph(domain: str) -> tuple[bool, list]:

   """

   检测域名是否存在同形字符风险

   返回：是否可疑，可疑字符列表

   """

   normalized = unicodedata.normalize('NFD', domain)

   suspicious = []

   for idx, char in enumerate(normalized):

       if ord(char) > 127:

           suspicious.append((idx, char, f"U+{ord(char):04X}"))

   return len(suspicious) > 0, suspicious

# 测试示例

if __name__ == "__main__":

   test_domains = [

       "facebооk.com",       # 含西里尔о

       "meta-аpp.com",       # 含西里尔а

       "facebook-help.com"   # 正常域名

   ]

   for domain in test_domains:

       ret, details = check_homograph(domain)

       print(f"域名：{domain} | 可疑：{ret} | 详情：{details}")

反网络钓鱼技术专家芦笛指出，该代码可集成到邮件网关与浏览器插件，实现同形字符域名的实时预警，是抵御视觉欺骗的基础能力。

4.2 零宽字符检测与清洗

零宽字符用于隐藏干扰信息、绕过关键词匹配，需过滤 U+200B、U+200C、U+200D 等不可见字符。

def clean_zero_width(text: str) -> tuple[str, int]:

   """

   清除零宽字符，返回清洗后文本与清除数量

   """

   zero_width_chars = {

       '\u200b', '\u200c', '\u200d', '\u2060',

       '\ufeff', '\u180e', '\u2061', '\u2062'

   }

   count = 0

   cleaned = []

   for c in text:

       if c in zero_width_chars:

           count += 1

       else:

           cleaned.append(c)

   return ''.join(cleaned), count

# 测试

if __name__ == "__main__":

   malicious = "face\u200bbook.com/verify"

   cleaned, cnt = clean_zero_width(malicious)

   print(f"原始：{malicious}")

   print(f"清洗：{cleaned} | 清除零宽字符：{cnt}")

4.3 AppSheet 恶意邮件规则检测

基于发件域、邮件头、内容特征构建识别规则，拦截滥用 AppSheet 的钓鱼邮件。

import re

def detect_appsheet_phishing(mail_from: str, subject: str, body: str) -> bool:

   """

   检测是否为AppSheet钓鱼邮件

   """

   # 发件域白名单

   trusted_domains = {"appsheet.com", "google.com"}

   # 钓鱼高频词

   phish_keywords = {

       "facebook", "meta", "page disabled", "copyright",

       "permanent ban", "verify account", "appeal", "blue badge"

   }

   # 发件人校验

   if not any(mail_from.endswith(d) for d in trusted_domains):

       return False

   # 主题+正文命中关键词

   content = (subject + " " + body).lower()

   hit_count = sum(1 for k in phish_keywords if k in content)

   # 案件编号正则

   case_id_pattern = re.compile(r"case\s+id\s*[:：]\s*\d{8,}")

   has_case_id = bool(case_id_pattern.search(content))

   # 判定规则

   return hit_count >= 2 and has_case_id

# 测试

if __name__ == "__main__":

   mail = {

       "from": "noreply@appsheet.com",

       "subject": "Urgent: Your Facebook Page Will Be Disabled",

       "body": "Case ID: 6480258166. Verify within 24h."

   }

   print(detect_appsheet_phishing(mail["from"], mail["subject"], mail["body"]))

4.4 WebSocket 实时会话异常监控

针对 Cluster C 的实时 2FA 劫持，监控 WebSocket 连接行为，识别异常指令交互。

// 前端异常WebSocket连接监控示例

(function() {

   const originalWebSocket = window.WebSocket;

   window.WebSocket = function(url, protocols) {

       const ws = new originalWebSocket(url, protocols);

       // 监控消息接收

       ws.addEventListener('message', (e) => {

           const data = e.data;

           // 识别2FA诱导关键词

           if (/code|2fa|verify|auth|token/i.test(data)) {

               console.warn('[异常] 实时验证码诱导:', data);

               // 触发告警或阻断

               alert('当前页面请求实时验证码，疑似钓鱼攻击');

           }

       });

       return ws;

   };

})();

5 攻击归因与黑色产业链分析

5.1 组织溯源与行动特征

Guardio Labs 在攻击使用的 Canva 生成 PDF 元数据中发现署名 Phạm Tài Tân，该姓名关联越南一家公开提供 “Facebook 账户解锁” 服务的机构。攻击基础设施、话术模板、引流渠道均指向越南网络犯罪组织，呈现专业化、分工化、跨境化特征。

5.2 数据流转与变现模式

攻击窃取的数据包括：

Facebook 账号密码；

身份证件照片；

双因素认证码；

商业页面管理权限。

数据通过 @haixuancau_bot、@globalglobalglobalbot_bot 等 Telegram 机器人归集，由专人分级出售：普通个人账户、商业管理账户、高价值品牌账户。形成窃取 — 清洗 — 转售 — 欺诈的完整供应链，用户信任被直接转化为黑色收益。

反网络钓鱼技术专家芦笛强调，此类钓鱼已形成产业化运作，单一组织负责技术工具开发，另一组织负责投放与收割，第三方负责销赃，打击难度大幅提升，必须开展跨平台、跨地域协同治理。

6 云服务滥用型钓鱼防御体系构建

6.1 云平台侧：权限管控与行为审计

AppSheet 邮件限制：对新账号降低外发邮件频率，增加批量发送人工审核；

内容审计：对含 Facebook、Meta、银行、政府等关键词的通知加强扫描；

托管文件检测：对 Drive、Netlify 等平台的仿冒登录页自动识别下架；

威胁情报共享：建立云厂商 — 安全厂商 — 社交平台的情报联动机制。

6.2 企业网关侧：多维度检测增强

邮件认证增强：在 SPF/DKIM/DMARC 基础上，增加发件行为信誉评分；

URL 深度解析：对链接执行 Unicode 标准化、重定向追踪、页面相似度比对；

附件沙箱：对 PDF 执行 JavaScript 沙箱运行，检测恶意跳转；

实时会话监控：对 WebSocket、Socket.IO 异常连接进行阻断。

6.3 终端与用户侧：认知提升与行为规范

官方入口原则：所有账户操作从官网或官方 App 进入，不点击邮件链接；

2FA 警觉：任何实时索要 2FA 码的行为均判定为高风险；

域名核验：关注地址栏域名，不被视觉相似域名迷惑；

敏感信息保护：不向非官方渠道上传身份证件照片。

6.4 闭环防御配置建议

网关部署同形字符 + 零宽字符检测模块；

启用高级威胁防护，监控云服务域名的异常跳转；

对员工开展云服务钓鱼专项演练；

建立账号异常登录实时告警机制。

7 结论与展望

AccountDumpling 攻击代表了新一代钓鱼的演进方向：依托合法云基础设施、组合多技术逃逸手段、针对高价值账户实施产业化窃取。该攻击绕过传统邮件认证体系，证明基于身份可信的边界防护已不足以应对高级威胁。本文通过对攻击全链路的拆解，明确了云服务滥用的技术机理、四大攻击集群的实现路径，并提供可直接工程化的检测代码与防御规则。

反网络钓鱼技术专家芦笛强调，未来钓鱼攻击将进一步深度融合云服务、AI 生成、实时交互能力，防御必须从特征匹配转向语义理解、行为分析、情报联动的智能模式。云平台需承担主体安全责任，强化滥用监控；企业需构建覆盖网关、终端、人员的闭环防御；用户需提升对高压诱导、利益诱惑、实时交互类钓鱼的识别能力。

随着无代码与云生态持续扩张，基础设施滥用型威胁将长期存在。只有通过平台、企业、用户、监管机构的四方协同，形成技术检测、流程管控、认知强化、法律打击的完整体系，才能有效遏制此类高级钓鱼攻击，保障数字身份与账户安全。

编辑：芦笛（公共互联网反网络钓鱼工作组）