一場針對企業廣告管理帳號的精密網路釣魚活動正在肆虐，其高度專業化的誘餌設計與先進的攻擊技術，使得企業面臨嚴峻的資安挑戰。資安公司 Push Security 所揭露的這場攻擊，並非傳統廣撒網式的網路釣魚，而是採用了精準鎖定與極具說服力的誘餌，大大提高了其成功率。這些攻擊者將目標鎖定在擁有高價值廣告資源的企業帳號，意圖竊取其核心的登入憑證。

雖然針對企業廣告管理帳號的威脅行為者並不新鮮，但 Push Security 發現的這場活動 具有高度針對性，採用了專業設計的誘餌，從而創造了高成功率的條件。這場持續的網路釣魚活動冒充聯合利華、迪士尼、萬事達卡、LVMH 和 Uber 等知名品牌，以 Calendly 為主題進行誘餌，竊取 Google Workspace 和 Facebook 企業帳戶憑證。

這場精心策劃的騙局，其核心在於冒充頂級企業的人力資源或業務代表，例如 Push Security 觀察到攻擊者模仿了超過七十五個品牌，包括樂高（Lego）和 Artisan 等，並發送虛假的會議邀請郵件。這些電子郵件內容逼真，據信是利用人工智慧工具精心編寫而成，旨在利用收件人對這些大品牌的信任感。

取得行銷帳號存取權限，就能提供威脅行為者跳板，發動針對 AiTM 網路釣魚、惡意軟體分發和 ClickFix 攻擊的惡意廣告活動。此外，廣告平台允許地理位置定向、域名過濾和設備特定定向，從而可以進行「水坑式」攻擊。最終，被盜用的行銷帳戶可以轉售給網路犯罪分子，因此直接變現始終是可行的選擇。

駭客的最終目標是 Google 的多客戶中心（MCC）廣告管理帳號，以及企業的 Facebook Business 憑證。Google Workspace 帳戶的被盜，往往會透過單點登入（SSO）機制和寬鬆的身份提供者（IdP）配置，進一步延伸到更廣泛的企業環境和商業數據，造成難以估計的連鎖損害。

Calendly 是一個合法的線上日程安排平台，會議組織者可以透過該平台向另一方發送鏈接，讓接收者選擇可用的時間段。該服務過去曾被濫用於網路釣魚攻擊，但利用知名品牌來利用信任和熟悉度，才是此次活動成功的關鍵。

攻擊始於攻擊者冒充知名品牌的招募人員，然後向目標發送虛假的會議邀請。這些招募人員實際上是合法員工，他們在釣魚網站上的身份也被冒充。

攻擊流程設計得極為流暢，讓受害者難以察覺：

一旦受害者點擊鏈接，就會被帶到一個偽造的 Calendly 登錄頁面，該頁面會顯示驗證碼，然後是一個 AiTM 網絡釣魚頁面，該頁面試圖竊取訪問者的 Google Workspace 登錄會話。

這種 AiTM（中間人攻擊）技術是本次活動成功的關鍵，它能夠即時截取使用者輸入的憑證和會話 Cookie，從而繞過傳統的雙重認證（2FA）保護。

最近的變種攻擊利用瀏覽器內瀏覽器 (BitB) 攻擊來竊取 Google 和 Facebook 帳戶憑證，該攻擊會顯示包含合法 URL 的虛假彈出視窗。由於 AiTM 技術允許攻擊者繞過雙重認證 (2FA) 保護，因此建議重要帳戶的擁有者使用硬體安全金鑰，在輸入憑證之前驗證 URL，並將登入彈出視窗拖曳到瀏覽器視窗邊緣以驗證其合法性。

除了這種 Calendly 誘餌外，Push Security 還觀察到另一場惡意廣告活動，駭客透過惡意贊助廣告（Malvertising）的方式，利用使用者在 Google 搜尋「Google Ads」的機會，將其引導至偽裝的 Google Ads 登入頁面，最終同樣以 AiTM 釣魚頁面竊取憑證。這些釣魚頁面通常建構在 Odoo 或透過 Kartra 路由，並設有反分析機制，例如阻擋 VPN 和代理流量，防止訪問者開啟開發者工具，進一步提升了攻擊的隱蔽性與持久性。因此，企業應當加強員工的安全教育，並鼓勵使用更具抗釣魚能力的實體硬體安全金鑰，以應對這類日益複雜的進階威脅。

資料來源：https://www.bleepingcomputer.com/news/security/fake-calendly-invites-spoof-top-brands-to-hijack-ad-manager-accounts/