新型釣魚攻擊借Calendly偽裝知名品牌 伺機劫持廣告管理賬戶

一場持續進行的釣魚攻擊活動正以Calendly為誘餌載體，仿冒聯合利華、迪士尼、萬事達卡、路威酩軒、優步等知名品牌，伺機竊取目標用戶的谷歌工作區及臉書商業賬戶憑證。

盡管針對商業廣告管理賬戶的攻擊并非新鮮事，但這一攻擊活動具備極強的定向性，其精心打造的釣魚誘餌大幅提升了攻擊成功率。

一旦攻擊者獲取營銷賬戶權限，便可將其作為跳板，發起各類惡意廣告活動，用于中間人釣魚、惡意軟件分發及點擊劫持攻擊。此外，廣告平臺支持地域定向、域名過濾及設備精準定位等功能，攻擊者可借此實施“水坑式”攻擊。

從收益角度看，被攻陷的營銷賬戶還可轉售給網絡犯罪分子，實現直接變現。而谷歌工作區賬戶往往關聯企業內網環境與核心業務數據，尤其是在單點登錄及寬松身份提供商配置下，其被竊取的危害會進一步擴大。

基于Calendly的釣魚攻擊流程

Calendly是一款正規的在線日程預約平臺，會議組織者可向參會方發送鏈接，供對方自主選擇空閑時段。該平臺此前曾被用于釣魚攻擊，而此次攻擊的特殊之處在于，攻擊者借助大眾熟知的知名品牌建立信任，顯著提升了誘騙效果。

攻擊的具體流程如下：

1. 誘餌投放：攻擊者先偽裝成知名品牌的招聘人員，向目標用戶發送偽造的會議邀約，且釣魚落地頁還會仿冒企業真實員工身份，增強可信度。據悉，這些釣魚郵件由AI工具生成，累計仿冒品牌超75個，涵蓋路威酩軒、樂高、萬事達卡、優步等。

釣魚郵件啟動攻擊

2. 鏈路跳轉：受害者點擊郵件鏈接后，會進入偽造的Calendly頁面，頁面首先會彈出人機驗證（CAPTCHA），驗證通過后隨即跳轉至AiTM釣魚頁面，嘗試竊取用戶的谷歌工作區登錄會話。

3. 多平臺適配：Push Security在與某受害機構核實后確認，該活動核心目標為谷歌多客戶賬戶廣告管理賬戶。

假的Calendly頁面

研究人員最初發現31個支撐該攻擊的獨立URL，后續又排查出多個變種版本：其一仿冒聯合利華、迪士尼、樂高、Artisan等品牌，專門竊取臉書商業賬戶憑證；另一較新版本則采用瀏覽器嵌套攻擊技術，通過顯示含正規URL的偽造彈窗，同時竊取谷歌與臉書兩類賬戶憑證。

針對臉書賬戶的頁面

4. 反檢測機制：釣魚頁面還內置反分析防護，包括攔截VPN及代理流量、禁止訪客在頁面內打開開發者工具等，以此規避安全檢測。

變體針對兩種賬戶類型

并行的惡意廣告釣魚活動

與此同時，Push Security還監測到另一項針對谷歌廣告管理賬戶的惡意廣告攻擊：用戶在谷歌搜索中查詢“Google Ads”時，可能點擊到惡意贊助廣告，進而被導向谷歌廣告主題的釣魚頁面，最終跳轉至仿冒谷歌登錄界面的AiTM釣魚站點。

惡意搜索結果排名第一

研究發現，此類攻擊的惡意頁面多部署在Odoo平臺，部分還會經Kartra平臺跳轉。

虛假Google廣告著陸頁

盡管針對廣告管理賬戶的同類攻擊早有記載，但對攻擊者而言，其仍具備極高的牟利價值。鑒于AiTM技術可繞過雙重認證防護，安全機構建議高價值賬戶持有者采取以下防護措施：使用硬件安全密鑰、輸入憑證前仔細核驗URL、將登錄彈窗拖動至瀏覽器邊緣以驗證其合法性。

參考及來源：https://www.bleepingcomputer.com/news/security/fake-calendly-invites-spoof-top-brands-to-hijack-ad-manager-accounts/