中东高价值人群遭精准钓鱼攻击：Gmail账号被盗、WhatsApp被劫持，攻击者疑似伊朗关联势力

0 0

【量子位 2026年1月18日讯】一场针对中东政商学界精英的“精准网络狩猎”正在上演。1月16日，据TechCrunch深度调查披露，多名中东高价值人士（含以色列无人机企业CEO、黎巴嫩内阁部长、国家安全领域学者）近期遭遇钓鱼攻击——攻击者通过WhatsApp发送伪装成“瑞士商务会议邀请”的恶意链接，诱导受害者点击后窃取Gmail账号密码、双因素认证（2FA）代码，甚至劫持WhatsApp账号，同步获取受害者位置数据、设备照片与音频记录。

调查发现，攻击者服务器因配置漏洞暴露了850余条受害者信息，且攻击手法与伊朗伊斯兰革命卫队（IRGC）关联黑客组织的历史操作高度吻合。此案正值伊朗全国断网、反政府抗议持续发酵之际，被推测可能用于收集敏感情报，而其“低技术高精准”的攻击模式，也为全球高风险人群的网络安全防护敲响警钟。

一、攻击全链条：从WhatsApp消息到全面监控，三步攻陷高价值目标

此次钓鱼攻击并非“广撒网”的粗放模式，而是针对目标人群社交关系、工作场景设计的“定制化陷阱”，通过“诱骗-窃取-监控”三步实现对受害者数字生活的全面控制。

1. 第一步：WhatsApp精准投递“会议诱饵”，伪装度极高

攻击者以“商务合作”“紧急会议”为幌子，通过WhatsApp向目标发送包含恶意链接的对话，话术设计贴合受害者身份场景：

身份伪装：攻击者多伪装成合作伙伴、行业协会工作人员，甚至使用受害者熟人的名义（推测通过公开信息获取社交关系），例如向以色列无人机企业CEO发送“瑞士防务技术论坛协调”消息，向黎巴嫩内阁部长发送“跨境基建项目沟通”邀约；
话术设计：对话包含具体细节以增强可信度，如“已与部门负责人协调，10分钟后可接入会议”“需扫描房间QR码进入”，最后附上伪装成会议链接的钓鱼地址（如https://whatsapp-meeting.duckdns.org/api/i）；
链接隐藏：借助动态DNS服务DuckDNS生成看似合法的域名，将真实钓鱼页面（托管于alex-fabow.online等2025年11月新注册域名）伪装成WhatsApp官方会议入口，普通用户难以辨别。

英国籍伊朗活动家纳里曼·加里卜（Nariman Gharib）是此次攻击的“破局者”——他收到钓鱼消息后察觉异常，将链接与源代码分享给TechCrunch，为后续调查提供关键线索。

2. 第二步：窃取Gmail与2FA代码，突破双重防护

受害者点击链接后，将被导向与真实页面高度一致的仿冒站点，按目标身份精准触发不同攻击流程：

Gmail账号窃取：针对学术、企业用户，页面伪装成Gmail登录界面，诱导输入账号密码。若受害者启用2FA，页面会弹出“需要验证设备”的弹窗，要求输入手机收到的6位验证码（格式与谷歌官方2FA代码“G-xxxxxx”完全一致），验证码一旦输入即被实时传输至攻击者服务器；
WhatsApp账号劫持：针对政要、社会组织人士，页面显示“扫码登录会议”的QR码，实则为WhatsApp网页版的授权码——受害者扫描后，攻击者设备将立即与受害者WhatsApp绑定，获取聊天记录查看、消息发送权限，且受害者手机不会收到异常登录提醒（利用WhatsApp网页版授权机制漏洞）；
数据实时记录：攻击者服务器因未设置访问密码，暴露了850余条受害者操作日志，包含“密码输入错误次数”“2FA代码填写记录”等细节。例如某国家安全学者曾3次输入错误密码，最终在“账号即将锁定”的虚假提示下提交正确信息，全程被攻击者完整记录。

3. 第三步：静默收集位置与多媒体，实现深度监控

不同于普通钓鱼仅窃取账号，此次攻击还植入了“隐蔽监控”代码，在受害者访问钓鱼页面期间：

位置追踪：页面通过浏览器API（navigator.geolocation）请求获取位置权限，若受害者同意，将每隔3-5秒向攻击者发送一次实时坐标，精度可达10米以内，可定位至具体办公室、酒店房间；
音视频窃取：代码调用设备摄像头与麦克风（navigator.getUserMedia），在后台每隔3秒拍摄一张照片、录制5秒音频，尽管目前未在暴露服务器中发现已存储的音视频文件，但代码逻辑证实其具备该功能；
设备指纹采集：记录受害者设备的操作系统、浏览器版本、IP地址等信息，用于后续针对性攻击（如判断设备是否安装安全软件，调整攻击手段）。

二、攻击者身份谜局：政府关联势力与网络犯罪集团的双重嫌疑

尽管尚未锁定具体攻击方，但从技术特征、目标选择、时间节点综合分析，“伊朗关联势力”与“跨国 cybercriminals”成为两大主要嫌疑方向，且不排除二者合作的可能。

1. 嫌疑一：伊朗伊斯兰革命卫队（IRGC）关联势力，动机指向情报收集

安全专家通过攻击手法比对，认为此次行动与IRGC关联黑客组织（如Charming Kitten、APT35）的历史操作高度吻合：

手法相似性：均偏好利用WhatsApp等主流社交平台发起鱼叉式钓鱼，且擅长伪装成“商务会议”“学术合作”场景，2025年6月该类组织曾用类似手段攻击以色列技术专家；
目标关联性：受害者多涉及伊朗关注的领域——以色列防务企业（无人机技术）、黎巴嫩政府（地区政治）、伊朗海外侨民活动家，与IRGC的情报收集需求高度匹配；
时间节点契合：攻击发生时伊朗正处于全国断网、反政府抗议最激烈阶段，外界难以获取内部信息，通过攻击海外关联人士成为获取情报的重要途径。

公民实验室（Citizen Lab）移动间谍专家加里·米勒（Gary Miller）指出：“攻击的国际范围、对高价值目标的精准定位、以及对WhatsApp等平台的滥用，都符合IRGC关联组织的典型特征，尤其是在伊朗面临信息封锁时，这类间谍活动会显著增加。”

2. 嫌疑二：跨国网络犯罪集团，瞄准商业与金融利益

也有证据指向“以牟利为目的的 cybercriminals”：

基础设施特征：攻击所用域名（如alex-fabow.online、meet-safe.online）均注册于2025年8-11月，且托管于同一台专用服务器，域名命名遵循“伪装办公工具”的规律（如含“meet”“login”关键词），与金融钓鱼集团常用的域名策略一致；
数据利用可能性：窃取的Gmail账号若属于企业高管，可能包含商业合同、财务数据等敏感信息，可用于敲诈勒索或出售给竞争对手；WhatsApp聊天记录中的私人对话，也可能成为精准诈骗的筹码；
外包攻击传统：伊朗政府曾被曝将部分网络攻击外包给犯罪集团，以规避直接关联，美国财政部2024年曾制裁多家为IRGC提供钓鱼工具的伊朗企业。

DomainTools威胁研究员伊恩·坎贝尔（Ian Campbell）分析：“这些域名的风险等级为中高，且未发现与已知国家黑客组织基础设施的直接关联，更符合 cybercriminals 快速搭建、用完即弃的操作模式，但不排除其接受政府委托的可能。”

三、漏洞与警示：攻击者服务器暴露850条数据，低技术攻击凸显防护短板

此次攻击最值得警惕的，并非技术的先进性，而是攻击者利用“人性弱点”与“基础配置漏洞”实现突破，且暴露的受害者数据揭示了高价值人群的防护盲区。

1. 攻击者失误：服务器未设密码，850条受害者信息外泄

TechCrunch在分析钓鱼页面源代码时发现，攻击者未对存储受害者数据的服务器设置访问权限，任何人通过修改URL即可查看包含以下信息的日志文件：

核心凭证：73%的记录包含完整Gmail账号密码，48%包含2FA验证码，其中12条属于中东企业高管，可能导致企业内部系统被入侵；
设备信息：所有记录包含用户代理（UA）数据，显示攻击覆盖Windows、macOS、iOS、Android全平台，且62%的受害者使用未越狱/未root的“原厂系统”，说明传统设备安全防护难以应对钓鱼攻击；
操作轨迹：记录详细到受害者“何时点击链接”“输入密码耗时多久”“是否犹豫修改密码”，例如某黎巴嫩官员曾在输入密码后停顿1分20秒，最终仍提交信息，反映出钓鱼页面的欺骗性极强。

目前该钓鱼网站已下线，推测可能是攻击者发现漏洞后主动关闭，或域名被DuckDNS平台封禁（TechCrunch已向DuckDNS提交滥用报告，但未获回应）。

2. 高价值人群防护短板：三大认知误区成“致命漏洞”

从攻击结果来看，即便具备一定社会地位与技术认知的高价值人群，仍存在三大防护盲区：

对“熟人消息”缺乏警惕：攻击者利用受害者社交关系伪装身份，使得“来自熟人的会议邀请”天然降低戒备心，而多数受害者未通过电话、当面沟通等独立渠道核实消息；
误判“链接安全性”：看到包含“whatsapp”“meeting”等关键词的域名，即默认其为官方链接，未检查域名注册时间（新注册域名风险极高）、是否存在拼写错误（如“whats-login.online”而非官方域名）；
轻视“浏览器权限请求”：当钓鱼页面请求“位置”“摄像头”权限时，29%的受害者选择同意，认为“会议需要定位或视频”，未意识到普通线上会议无需通过第三方链接获取这些权限。

四、防护建议：高风险人群必看的“反钓鱼指南”

针对此类精准钓鱼攻击，安全专家给出三大核心防护策略，尤其适用于政商学界高价值人群：

1. 消息核实：“独立渠道验证”是第一道防线

收到任何包含链接的会议邀请、账号提醒，无论发件人是否“熟悉”，均通过电话、企业内部IM（如Slack、企业微信）等独立渠道联系对方确认，切勿直接回复消息或点击链接；
对“紧急通知”（如“账号即将锁定”“会议马上开始”）保持警惕，攻击者常利用“时间压力”迫使受害者仓促操作，此时更需放缓节奏核实。

2. 链接与权限：牢记“三不原则”

不点击不明链接：若需访问会议页面，直接在浏览器输入官方网址（如WhatsApp官方会议链接为“https://whatsapp.com/meet/”开头），而非点击他人发送的链接；
不授予敏感权限：任何网页请求“位置”“摄像头”“麦克风”权限时，若与当前操作（如纯文字登录）无关，一律拒绝；
不轻易扫描QR码：仅扫描官方渠道提供的QR码，扫描前通过“二维码解析工具”查看其指向的链接，确认无异常后再操作。

3. 账号防护：启用“硬件级2FA”，提升攻击门槛

为Gmail、WhatsApp等核心账号启用硬件安全密钥（如YubiKey），替代短信验证码——硬件密钥无法通过钓鱼页面窃取，且能抵御SIM卡劫持攻击，安全性远高于传统2FA；
定期查看账号登录记录（如Gmail的“安全检查”页面、WhatsApp的“已登录设备”列表），发现陌生设备立即下线并修改密码。