Naukowcy wykryli długotrwałą akcję phishingową, w ramach której wykorzystuje się zaufane usługi Google do przejęcia dziesiątek tysięcy Facebook na Facebook .
Włamane Facebook to głównie profile firmowe i reklamodawców, które przestępcy mogą wykorzystać do czerpania zysków po uzyskaniu do nich dostępu i przejęciu kontroli.
Atakujący znaleźli sposób na wysyłanie wiadomości phishingowych, które „przechodzą przez Google”, dzięki czemu na pierwszy rzut oka wydają się wiarygodne. Wiadomości te są wysyłane za pośrednictwem platformy AppSheet firmy Google, dzięki czemu przechodzą standardowe kontrole techniczne (SPF, DKIM, DMARC), a wiele filtrów pocztowych traktuje je jako zaufane.
Google AppSheet to platforma programistyczna, która umożliwia tworzenie aplikacji mobilnych i internetowych bez konieczności pisania kodu. Pozwala ona na automatyzację procesów roboczych i powiadomień, co zazwyczaj wykorzystuje się do wysyłania alertów generowanych przez aplikacje oraz wewnętrznych aktualizacji.
I właśnie w tym miejscu oszuści wykorzystali tę lukę. Nazwę nadawcy można dowolnie dostosować, a adres nadawcy może wyglądać mniej więcej tak: noreply@appsheet.com, dostarczane za pośrednictwem appsheet.bounces.google.com. Dla przeciętnego użytkownika wygląda to jak zupełnie zwyczajne powiadomienie, które w takich przypadkach często dotyczy naruszeń Facebook , skarg dotyczących praw autorskich lub problemów z weryfikacją.
Naukowcy powiązali te wiadomości e-mail z operacją powiązaną z Wietnamem, która doprowadziła już do przejęcia około 30 000 Facebook i nadal trwa.
Skradzione konta to głównie strony i profile firmowe o wartości finansowej: konta reklamowe, strony marek oraz firmy, które wykorzystują Facebook marketingowych. Po uzyskaniu dostępu do tych kont cyberprzestępcy prowadzą oszustwa, umieszczają fałszywe reklamy lub sprzedają dostęp do nich innym osobom. W niektórych przypadkach ta sama grupa oferuje usługi „odzyskiwania kont”, aby naprawić spowodowane przez siebie problemy.
Oszustwo czy uczciwa oferta? Scam Guard to wie.
Niezależnie od tego, czym się kusi, cel jest ten sam: Facebook , kody do uwierzytelniania dwuskładnikowego oraz dane do odzyskiwania konta. Strony phishingowe to tylko punkt wyjścia. Za nimi kryje się dość rozbudowana infrastruktura oparta na botach i kanałach w Telegramie, służąca do gromadzenia i przetwarzania skradzionych danych.
Jak zachować bezpieczeństwo
Ta kampania to nie „kolejny zwykły e-mail phishingowy”. To kolejny przykład tego, jak cyberprzestępcy wykorzystują zaufanie, jakim darzymy największe platformy.
Facebook wysyła skarg, wniosków o weryfikację, powiadomień dotyczących bezpieczeństwa, ofert pracy ani innych pilnych wiadomości za pośrednictwem infrastruktury Google.
- Każdą wiadomość e-mail, w której pojawia się informacja, że Twoje Instagram Facebook Instagram ma zostać zablokowane, zawieszone lub ukarane, należy poddać dokładnej analizie, zwłaszcza jeśli wymaga ona podjęcia działań w ciągu 24 godzin.
- Jeśli otrzymasz niepokojącą wiadomość dotyczącą swojego konta, przejdź bezpośrednio na stronę facebook.com lub do Facebook . Nie klikaj linków zawartych w wiadomości.
- Jeśli w formularzu proszą Cię jednocześnie o podanie hasła, kilku kodów 2FA, daty urodzenia, numeru telefonu i zdjęć do dokumentu tożsamości, to lepiej się zatrzymaj. To właśnie ten „kompletny zestaw do odzyskania dostępu” jest potrzebny atakującym, by przejąć Twoje konto.
- Skonfiguruj uwierzytelnianie dwuskładnikowe (2FA) na Facebook oraz powiadomienia o logowaniu na nowych urządzeniach i z nowych lokalizacji.
- Zachowaj ostrożność w przypadku nietypowych wiadomości z Facebook . Samo konto mogło zostać przejęte.
Wskazówka: Funkcja Malwarebytes Guard pomoże Ci wykrywać wiadomości phishingowe na każdej platformie. Możesz z niej korzystać nawet w aplikacjach Claude i ChatGPT.
