中东高层邮箱与WhatsApp遭精准钓鱼攻击 多名政要与媒体人士受害

背景概述

2025年11月，一位在英国的伊朗裔活动人士Nariman Gharib在Twitter上曝光了一条通过WhatsApp发送的钓鱼链接，引发媒体对该链路的深度调查。该活动正值伊朗全国性互联网封锁期间，抗议与镇压交织，网络空间的攻击与防御异常活跃。

攻击链解析

• 入口：WhatsApp信息中包含一个形似官方链接的短链，实际指向DuckDNS的子域名。
• 重定向：DuckDNS将流量转向攻击者自建的域名（如 alex-fabow.online），该域名在2025年11月首次注册。
• 钓鱼页面：页面根据受害者设备类型展示伪装的Gmail登录框或WhatsApp二维码。登录框收集用户名、密码以及两因素验证码；二维码则利用WhatsApp的设备关联功能，将受害者账号绑定到攻击者控制的设备上。
• 数据泄露：攻击者的服务器上留下了一个未加密的日志文件，记录超过850条受害者提交的信息，包括凭证、用户代理、位置、音频和照片采样请求。

受害者画像

通过泄露文件可辨认出数十名受害者：

• 伊朗裔学者、美国电话用户
• 以色列无人机公司高管
• 黎巴嫩高级内阁部长
• 至少一名记者
• 多位在中东地区活跃的政治与商业人物

技术细节

• 动态DNS：利用DuckDNS掩盖真实IP，防止追踪。
• 跨平台兼容：页面检测 navigator.geolocation 与 navigator.getUserMedia，向受害者请求位置信息、摄像头与麦克风权限，每隔数秒自动上传采集数据。
• 凭证捕获：通过改写URL即可直接读取服务器上的凭证日志，间接实现了类似键盘记录器的功能。

动机与归属猜测

研究人员提出两大可能：

1. 国家支持：伊朗伊斯兰革命卫队（IRGC）常用此类精准钓鱼手段进行情报搜集，攻击目标集中在与伊朗事务关联的高价值人物。
2. 金融犯罪：部分受害者为企业高管，窃取邮箱后可获取商业机密或进行金钱勒索。域名创建时间较早且与已知的网络犯罪集团有关，暗示可能存在经济驱动的因素。

防御与建议

• 勿点未知链接：尤其是通过WhatsApp、Signal等即时通讯发送的短链。
• 启用安全密钥：将两因素认证升级为硬件安全密钥，避免短信验证码被拦截。
• 监控账号异常：定期检查Gmail登录历史，若发现异常设备立即撤销关联。
• 使用信任的DNS服务：对动态DNS提供商进行审计，防止其被滥用。

“点击未经验证的WhatsApp链接，风险极高。”——资深移动安全研究员Gary Miller

如需安全咨询，可通过Signal联系记者（用户名：zackwhittaker.1337）。