去年9月,三个做AI漫画工具的创始人,在Instagram上线第一周收到了47条辱骂私信。两周后,他们丢了公司账号、个人Facebook被封、广告账户被盗刷——不是因为技术漏洞,是因为一封写着「24小时内申诉,否则永久删除」的邮件。
钓鱼邮件的胜率从来不靠技术,靠的是时机。
这是「My Life in Comics」创始团队最近公开复盘的一次被黑经历。他们做的是一个AI辅助的个人漫画创作平台,产品逻辑是「不替代手绘,只给想快速表达的人一个工具」。但上线即踩雷:传统漫画社区对AI的敌意,比预想中猛烈得多。
「我们看到的不是诈骗,是恨我们的人终于赢了」
账号启动后,评论区高频出现三个词:Plagiarism(抄袭)、「AI is poop」(AI是屎)、「You're stealing from artists」(你们在偷艺术家的东西)。团队每天花两小时回复解释,情绪处于持续消耗状态。
这时候,一封来自「Meta Business Suite」的邮件抵达收件箱。主题行:「知识产权政策违规——账户即将停用」。正文措辞专业,链接域名做了视觉欺骗(metabusiness-help.com 而非 facebook.com),落地页1:1复刻了官方后台。
核心杀招藏在第四段:「您有24小时提交申诉,超时永久删除」。
创始人事后复盘:「我们当时不是在判断邮件真假,是在想『那些骂我们的人终于得逞了』。」24小时倒计时对初创团队是致命设计——产品刚上线,每一小时都是烧钱期,账号死亡等于公司死亡。情绪高压下,三人集体绕过内部安全审查流程,主动输入了邮箱、手机号、密码。
验证码迟迟未到。黑客的脚本已经跑完:启用双因素认证(2FA,一种登录时需二次验证的安全机制),把创始人设备踢出登录态,完成「换锁」。
10分钟后的连锁反应:越南语、广告复活、核选项
黑客没有立刻停掉原有广告——那会引起警觉。相反,他们重新激活了已暂停的推广计划,把预算导向自己的欺诈广告。创始人发现异常时,账户已产生数百美元异常消耗。
更狠的一步叫「核选项」。黑客开始用公司账号发布违禁内容(推测为色情素材),触发Facebook的自动封禁机制。创始人个人账号连带被封,被迫进入漫长的申诉流程。
「这是经典的分兵战术,」团队在复盘文中写道,「让我们忙着救个人账号,没精力处理商务管理平台。」
攻击者比多数产品经理更懂用户心理:他们知道什么时候目标会自己拆掉防火墙。
幸存靠一张虚拟卡,和一条被忽略的备用通道
损失控制有两个关键点。第一,团队使用Revolut虚拟信用卡,设定了单笔和单日限额,黑客无法大额盗刷。第二,他们保留了Instagram账号的独立登录权限——Facebook Business Manager被锁,但内容端口的备用认证没断,得以快速发布声明、引导用户迁移。
复盘中提到的防御建议,没有一条是技术导向的:
• 24小时倒计时是红色警报,不是行动指令。任何制造紧急感的安全通知,默认先假后真。
• 情绪峰值期不做安全决策。被骂完47条私信的那天,本该有人强制介入审核流程。
• 虚拟卡和权限隔离,是给小团队的低成本保险。不需要安全工程师,需要产品经理的偏执。
团队最后补了一句:「我们支持手绘艺术家的权利,也相信AI工具能找到共存空间——但这封信让我们意识到,有些战场在代码之外。」
他们没说的是:那封邮件的IP溯源显示,发送时间与Instagram评论区攻击高峰高度重合。是巧合,还是有人专门挑了情绪窗口?
Meta至今未回复这起个案的溯源请求。
热门跟贴