中东高层 Gmail 与 WhatsApp 钓鱼攻击曝光，数十名政要及媒体人士受害

攻击链概述

该钓鱼活动通过在 WhatsApp 私聊中发送伪装成会议链接的短链，利用 DuckDNS 动态 DNS 服务隐藏真实服务器地址。用户点击后被重定向至 alex-fabow.online 等域名托管的钓鱼页面，页面会根据设备信息展示伪装的 Gmail 登录框或 WhatsApp QR 码。成功输入凭证后，攻击者即获取邮箱密码、两因素验证码以及浏览器发送的定位、音视频流数据。

受害者与泄露数据

技术团队在攻击者服务器上发现了一个未加密的记录文件，包含850多条受害者提交的表单数据。已确认的受害者身份包括：

• 伊朗裔英国活动家 Nariman Gharib（最先举报该链）
• 黎巴嫩部长级官员
• 以色列无人机公司高层
• 中东地区国家安全研究学者
• 至少一名记者
• 多名持有美国手机号的用户

记录中详细列出了用户名、密码、两因素验证码、用户代理信息以及浏览器授权的位置信息、照片和音频片段。

技术手段分析

• 动态 DNS 伪装：使用 DuckDNS 子域名将流量转发至临时服务器，规避追踪。
• 多目标钓鱼页面：根据访问设备返回不同的欺骗页面，兼容 Windows、macOS、iOS 与 Android。
• 浏览器媒体窃取：利用 navigator.geolocation、navigator.getUserMedia 诱导用户授权，随后每隔数秒自动上传坐标、照片与短音频。
• QR 码劫持：伪造的 WhatsApp 登录二维码可将受害者的账号绑定至攻击者控制的设备，实现长期会话劫持。

可能的幕后势力

安全研究员指出，攻击行为符合伊朗伊斯兰革命卫队（IRGC）常用的定向钓鱼特征：目标集中在与伊朗政治、媒体及技术产业相关的高价值个人。然而，域名注册时间较早且部分域名被标记为金融犯罪高风险，暗示亦可能与以盈利为目的的黑色产业链合作，甚至政府雇佣犯罪团伙共同实施。

防范建议

1. 勿点击陌生 WhatsApp 链接，尤其是声称会议或文件的短链；
2. 核实二维码来源，可先在浏览器中打开二维码对应的 URL 再决定是否扫描；
3. 开启邮件登录提醒，当 Gmail 检测到异常登录时立即收到通知；
4. 使用安全键（U2F） 替代 SMS 短信二要素认证；
5. 定期审计已授权的应用与浏览器权限，撤销不必要的地理位置、摄像头和麦克风访问。

该事件再次提醒跨平台社交工具的安全风险，也凸显在政治动荡期间，信息安全已成为国家与个人的共同防线。