凌晨3点,我们的Instagram后台突然变成越南语。广告账户还在烧钱,只是收款方换成了某个胡志明市的空壳公司。

这不是电影桥段。这是我们创业第47天发生的事。

讽刺吗?我们团队全员科技背景,有人写过安全白皮书,有人拆过APT攻击样本。但钓鱼邮件进来时,我们连URL都没仔细看就点了——因为发件人写着"Meta商务支持",主题栏是「知识产权违规:账户将于24小时内永久删除」。

情绪比代码更难防

情绪比代码更难防

时间线得倒回两周前。

我们做了个AI漫画工具,上线当天涌进一批传统漫画从业者。评论区很热闹:"剽窃""AI是屎""你们在偷艺术家的饭碗"。有人专门做了视频逐帧分析我们的生成逻辑,证明"这玩意根本不懂构图"。

说完全不受影响是假的。创始人之一连续三天刷负面评论到凌晨,把每条质疑都截图存进"改进清单"文件夹。

所以当那封邮件出现时,我们的大脑自动完成了叙事闭环:看吧,他们真的举报成功了。

邮件的每个细节都在强化这个幻觉。发件人域名是metabusiness-support.com(真域名是business.facebook.com),页面1:1复刻了Meta商务套件的后台,连字体加载的卡顿节奏都模拟了。最致命的是那个24小时倒计时——红色加粗,每秒跳动。

「我们当时不是在判断真假,是在抢救孩子。」联合创始人后来复盘时说。

输完邮箱、手机号、密码之后,页面提示"验证码发送中,请等待"。我们等了四分钟。黑客用这四分钟完成了三件事:登录、开启两步验证(2FA)、把验证设备绑到他们手机上。

换句话说,我们亲手给自家大门换了把锁,钥匙在对方手里。

黑客的"核选项"与我们的运气

黑客的"核选项"与我们的运气

前十分钟,他们只做了一件事:保持广告 campaigns 继续跑。

这是老手操作。如果突然停掉所有投放,创始人会立刻警觉。但让原有广告正常运转,同时偷偷新建一批"推广越南某博彩网站"的 campaign,很多人要到月底对账才能发现——那时候钱早就洗完了。

我们之所以在十分钟内察觉,是因为设置了 Revolut 虚拟卡的单笔限额:5000美元。

黑客尝试了第一笔大额充值,触发风控短信。创始人凌晨三点被手机震醒,登录后台看到越南语界面,第一反应是"系统bug",第二反应是"不对,我的2FA怎么失效了"。

真正的杀招在半小时后到来。

黑客开始在我们创始人的个人 Facebook 主页发布违禁内容——根据事后推测是色情素材,触发平台自动审核机制。这是经典的"核选项":当创始人忙着申诉个人账号、上传身份证自证清白时,根本无暇顾及商务管理后台的资金流向。

我们没中这招,纯粹因为反应够快。发现异常后,团队分工明确:一人冻结所有支付渠道,一人联系 Meta 客服(排队47分钟),第三人直接开车去创始人家里——他的个人账号绑定着公司主页的最高权限,需要物理隔离设备防止进一步操作。

凌晨5点,我们夺回账户控制权。黑客总共转走了3800美元,远低于行业平均的5-10万美元损失。

事后拆解:那些"本该知道"的漏洞

事后拆解:那些"本该知道"的漏洞

复盘时,我们列了七条"如果当时"。

如果当时检查了发件人域名的 whois 信息——metabusiness-support.com 注册于三天前,注册地在巴拿马。

如果当时注意到页面URL的细微差别——真后台是 facebook.com,钓鱼页是 facebook-secure-verification.com。

如果当时没有在那个时间点查看邮件——邮件是本地时间晚上11:47送达,正好是我们习惯处理"当日收尾工作"的时段。

但最该被记住的不是这些技术细节。

攻击发生前72小时,我们的团队情绪指标已经爆表:日均睡眠5小时,咖啡因摄入量翻倍,有人把 Slack 通知设成了"紧急警报"音效。黑客的邮件不是随机投放,是精准计算了"创业公司发布后的脆弱窗口期"。

「他们知道我们怕什么。」

这个洞察来自我们后来联系的一位反欺诈顾问。他看过邮件样本后指出,主题栏的"知识产权违规"四个字是定向诱饵——攻击者监控了我们的社交媒体争议,把行业痛点武器化。

这不是广撒网钓鱼,是鱼叉式网络钓鱼(Spear Phishing)的教科书案例。

现在我们的后台长什么样

现在我们的后台长什么样

事件之后,我们改了五条规则。

支付层面:所有广告账户绑定虚拟卡,单卡限额2000美元,有效期设为三个月。主卡物理隔离,需要两人同时在场才能解冻。

权限层面:商务管理后台的管理员账号与创始人个人 Facebook 解绑,单独注册企业邮箱作为根权限。任何权限变更触发短信+邮件+Slack 三重通知。

操作层面:涉及资金或权限的邮件,强制冷却期15分钟——团队群聊确认后方可操作。我们甚至做了个浏览器插件,把"Meta""Google""AWS"等官方域名白名单标绿,其他域名标红。

但最有用的改变可能是最"软"的一条:每周五下午强制断网两小时,创始人轮流值班处理客服——不是为了效率,是为了保持对负面反馈的"钝感"。

被黑之后,我们收到过三封类似的钓鱼邮件。主题分别是"广告账户异常扣费""版权投诉升级""税务信息待更新"。

团队群聊里的标准回复变成了:"放冷却箱,周一再说。"

上周,一位同行创始人发来截图:他的公司损失了9万美元,攻击路径和我们几乎一致,只是他的虚拟卡限额设成了5万美元——"当时觉得小额频繁充值麻烦"。

我们没给建议,只回了一句:你的冷却箱设了几分钟?