Forscher haben eine seit Langem andauernde Phishing-Aktion aufgedeckt, bei der vertrauenswürdige Google-Dienste missbraucht werden, um Zehntausende von Facebook zu kapern.
Bei den gehackten Facebook handelt es sich hauptsächlich um Unternehmens- und Werbeprofile, die Kriminelle nach dem Zugriff und der Übernahme der Kontrolle zu Geld machen können.
Die Angreifer haben einen Weg gefunden, Phishing-E-Mails zu versenden, die „über Google“ zu kommen scheinen, sodass sie auf den ersten Blick seriös wirken. Die E-Mails werden über die AppSheet-Plattform von Google versendet, sodass sie die üblichen technischen Prüfungen (SPF, DKIM, DMARC) bestehen und von vielen E-Mail-Filtern als vertrauenswürdig eingestuft werden.
Google AppSheet ist eine Entwicklungsplattform, mit der Nutzer mobile und Web-Apps erstellen können, ohne Code schreiben zu müssen. Sie ermöglicht die Automatisierung von Arbeitsabläufen und Benachrichtigungen und wird in der Regel zum Versenden von App-basierten Benachrichtigungen und internen Updates genutzt.
Und genau das haben die Phisher ausgenutzt. Der Absendername lässt sich individuell anpassen, und die Absenderadresse könnte etwa so aussehen: noreply@appsheet.com, bereitgestellt über appsheet.bounces.google.comFür den durchschnittlichen Nutzer sieht es wie eine ganz normale Benachrichtigung aus, in diesen Fällen oft wegen Verstößen gegen Facebook , Urheberrechtsbeschwerden oder Problemen bei der Verifizierung.
Forscher brachten diese E-Mails mit einer Operation in Verbindung, die aus Vietnam stammt, bereits rund 30.000 Facebook kompromittiert hat und nach wie vor aktiv ist.
Bei den gestohlenen Konten handelt es sich meist um Seiten und Unternehmensprofile, die einen finanziellen Wert haben: Werbekonten, Markenseiten und Unternehmen, die Facebook ihr Marketing auf Facebook angewiesen sind. Sobald sie Zugriff haben, führen die Angreifer Betrugsaktionen durch, schalten betrügerische Anzeigen oder verkaufen den Zugriff an Dritte. In einigen Fällen bietet dieselbe Gruppe „Kontowiederherstellungsdienste“ an, um die von ihnen verursachten Probleme zu beheben.
Betrug oder seriös? Scam Guard weiß es.
Egal, mit welchem Köder: Das Ziel ist immer dasselbe: Facebook , 2FA-Codes und Wiederherstellungsdaten. Die Phishing-Seiten sind nur der Einstiegspunkt. Dahinter verbirgt sich eine regelrechte industrielle Infrastruktur, die auf Telegram-Bots und -Kanälen basiert und dazu dient, gestohlene Daten zu sammeln und zu verarbeiten.
Wie man sicher bleibt
Diese Kampagne ist nicht „nur eine weitere Phishing-E-Mail“. Sie ist ein weiteres Beispiel dafür, wie Angreifer das Vertrauen ausnutzen, das wir in große Plattformen setzen.
Facebook versendet Facebook Beschwerden, Verifizierungsanfragen, Sicherheitsüberprüfungen, Stellenangebote und andere dringende Nachrichten über die Infrastruktur von Google.
- Jede E-Mail, in der behauptet wird, Ihr Facebook Instagram werde bald deaktiviert, gesperrt oder mit Sanktionen belegt, sollte besonders kritisch geprüft werden, vor allem, wenn darin verlangt wird, innerhalb von 24 Stunden Maßnahmen zu ergreifen.
- Sollten Sie eine beunruhigende Nachricht zu Ihrem Konto erhalten, rufen Sie direkt facebook.com oder die Facebook auf. Klicken Sie nicht auf Links in der Nachricht.
- Wenn in einem Formular auf einmal das Passwort, mehrere 2FA-Codes, das Geburtsdatum, die Telefonnummer und ein Passfoto abgefragt werden, sollten Sie sofort aufhören. Das ist das „Komplettpaket“, das diese Angreifer benötigen, um Ihr Konto zu übernehmen.
- Richte die Zwei-Faktor-Authentifizierung für Facebook ein und aktiviere Benachrichtigungen bei Anmeldungen von neuen Geräten und Standorten.
- Seien Sie vorsichtig bei ungewöhnlichen Nachrichten von Facebook . Das Konto selbst könnte gehackt worden sein.
Profi-Tipp: Mit Malwarebytes Guard kannst du Phishing-E-Mails und -Nachrichten auf jeder Plattform erkennen. Du kannst es sogar in Claude und ChatGPT nutzen.
