I ricercatori hanno scoperto un'operazione di phishing in atto da tempo che sfrutta servizi affidabili di Google per dirottare decine di migliaia di Facebook .
Facebook compromessi sono principalmente profili aziendali e di inserzionisti, che i criminali possono monetizzare dopo averne ottenuto l'accesso e il controllo.
Gli hacker hanno trovato un modo per inviare e-mail di phishing che sembrano provenire "da Google", facendole apparire a prima vista come messaggi legittimi. Le e-mail vengono inviate tramite la piattaforma AppSheet di Google, quindi superano i consueti controlli tecnici (SPF, DKIM, DMARC) e molti filtri di posta elettronica le considerano affidabili.
Google AppSheet è una piattaforma di sviluppo che consente di creare app mobili e web senza scrivere codice. È in grado di automatizzare flussi di lavoro e notifiche, solitamente utilizzate per inviare avvisi generati dall'app e aggiornamenti interni.
Ed è proprio qui che i phisher ne hanno approfittato. Il nome del mittente può essere personalizzato e l'indirizzo di provenienza potrebbe apparire più o meno così: noreply@appsheet.com, fornito tramite appsheet.bounces.google.com. All'utente medio sembra una notifica del tutto normale; in questi casi, spesso riguarda violazioni Facebook , reclami relativi al copyright o problemi di verifica.
I ricercatori hanno ricondotto queste e-mail a un'operazione collegata al Vietnam che ha già compromesso circa 30.000 Facebook ed è ancora attiva.
Gli account rubati sono per lo più pagine e profili aziendali che hanno un valore economico: account pubblicitari, pagine di marchi e aziende che si affidano a Facebook le loro attività di marketing. Una volta entrati, gli hacker mettono in atto truffe, pubblicano annunci fraudolenti o vendono l'accesso ad altri. In alcuni casi, lo stesso gruppo offre servizi di «recupero account» per risolvere i problemi che essi stessi hanno creato.
Truffa o sito affidabile? Scam Guard lo sa.
A prescindere dall'esca utilizzata, l'obiettivo è sempre lo stesso: Facebook , codici 2FA e dati di recupero. I siti di phishing sono solo il punto di accesso. Dietro di essi si nasconde un'infrastruttura piuttosto articolata, costruita attorno a bot e canali di Telegram per raccogliere ed elaborare i dati rubati.
Come stare al sicuro
Questa campagna non è «solo l'ennesima e-mail di phishing». È l'ennesimo esempio di come gli hacker sfruttino la fiducia che riponiamo nelle principali piattaforme.
Facebook invia reclami, richieste di verifica, controlli di sicurezza, offerte di lavoro e altri messaggi urgenti tramite l'infrastruttura di Google.
- Qualsiasi e-mail in cui si afferma che Instagram tuo Instagram Facebook Instagram sta per essere disattivato, bloccato o penalizzato merita particolare attenzione, soprattutto se richiede un intervento entro 24 ore.
- Se ricevi un messaggio preoccupante relativo al tuo account, vai direttamente su facebook.com o Facebook . Non cliccare sui link contenuti nel messaggio.
- Se un modulo richiede contemporaneamente password, più codici 2FA, data di nascita, numero di telefono e foto identificative, fermati subito. Si tratta del «pacchetto completo di recupero» di cui questi hacker hanno bisogno per prendere il controllo del tuo account.
- Configura l'autenticazione a due fattori (2FA) su Facebook e attiva gli avvisi di accesso per i nuovi dispositivi e le nuove posizioni.
- Presta attenzione ai messaggi insoliti provenienti da Facebook . L'account stesso potrebbe essere stato violato.
Consiglio da esperto: Malwarebytes Guard può aiutarti a individuare e-mail e messaggi di phishing su qualsiasi piattaforma. Puoi utilizzarlo anche su Claude e ChatGPT.
