Onderzoekers hebben een langlopende phishing-operatie aan het licht gebracht waarbij misbruik wordt gemaakt van vertrouwde Google-diensten om tienduizenden Facebook te kapen.
De gehackte Facebook zijn voornamelijk zakelijke profielen en profielen van adverteerders, waarmee criminelen geld kunnen verdienen zodra ze toegang en controle hebben verkregen.
De aanvallers hebben een manier gevonden om phishing-e-mails te versturen die ‘via Google’ lijken te komen, waardoor ze op het eerste gezicht legitiem lijken. De e-mails worden verstuurd via het AppSheet-platform van Google, waardoor ze de gebruikelijke technische controles (SPF, DKIM, DMARC) doorstaan en door veel e-mailfilters als betrouwbaar worden beschouwd.
Google AppSheet is een ontwikkelingsplatform waarmee gebruikers mobiele en webapps kunnen bouwen zonder code te schrijven. Het kan workflows en meldingen automatiseren en wordt doorgaans gebruikt voor het versturen van app-gestuurde meldingen en interne updates.
En daar hebben de phishers misbruik van gemaakt. De naam van de afzender kan worden aangepast, en het afzenderadres kan er bijvoorbeeld zo uitzien: noreply@appsheet.com, aangeboden via appsheet.bounces.google.com. Voor de gemiddelde gebruiker lijkt het een volkomen normale melding, in deze gevallen vaak over schendingen Facebook , auteursrechtklachten of verificatieproblemen.
Onderzoekers hebben deze e-mails in verband gebracht met een operatie met banden met Vietnam die al ongeveer 30.000 Facebook heeft gehackt en nog steeds actief is.
De gestolen accounts zijn voornamelijk pagina’s en bedrijfsprofielen die financiële waarde hebben: advertentieaccounts, merkpagina’s en bedrijven die Facebook hun marketing afhankelijk zijn van Facebook . Zodra ze toegang hebben gekregen, zetten aanvallers oplichtingspraktijken op, plaatsen ze frauduleuze advertenties of verkopen ze de toegang aan anderen. In sommige gevallen biedt dezelfde groep diensten aan voor het „herstellen van accounts“ om de door hen veroorzaakte problemen op te lossen.
Oplichterij of betrouwbaar? Scam Guard weet het.
Wat het lokmiddel ook is, het doel blijft hetzelfde: Facebook , 2FA-codes en herstelgegevens. De phishing-sites vormen slechts het startpunt. Daarachter schuilt een vrij omvangrijke infrastructuur die is opgezet rond Telegram-bots en -kanalen om gestolen gegevens te verzamelen en te verwerken.
Hoe blijf ik veilig
Deze campagne is niet ‘zomaar weer een phishing-mail’. Het is weer een voorbeeld van hoe aanvallers misbruik maken van het vertrouwen dat we in grote platforms stellen.
Facebook verstuurt Facebook klachten, verificatieverzoeken, veiligheidscontroles, vacatures en andere dringende berichten via de infrastructuur van Google.
- Elke e-mail waarin wordt beweerd dat je Facebook Instagram op het punt staat te worden uitgeschakeld, geblokkeerd of bestraft, moet je extra kritisch bekijken, vooral als er binnen 24 uur actie moet worden ondernomen.
- Als je een verontrustend bericht over je account ontvangt, ga dan direct naar facebook.com of de Facebook . Klik niet op links in het bericht.
- Als een formulier in één keer om een wachtwoord, meerdere 2FA-codes, geboortedatum, telefoonnummer en identiteitsfoto’s vraagt, stop dan. Dat is het ‘volledige herstelpakket’ dat deze aanvallers nodig hebben om je account over te nemen.
- Stel tweefactorauthenticatie (2FA) in voor Facebook en schakel meldingen in bij het inloggen vanaf nieuwe apparaten en locaties.
- Wees op je hoede voor ongebruikelijke berichten van Facebook . Het account zelf is mogelijk gehackt.
Pro-tip: Met Malwarebytes Guard kun je phishing-e-mails en -berichten op elk platform herkennen. Je kunt het zelfs gebruiken in Claude en ChatGPT.
