Исследователи раскрыли длительную фишинговую операцию, в ходе которой злоумышленники злоупотребляли доверием к сервисам Google для взлома десятков тысяч Facebook .
Среди взломанных Facebook преобладают профили компаний и рекламодателей, которые преступники могут использовать для извлечения прибыли после получения доступа и контроля над ними.
Злоумышленники нашли способ рассылать фишинговые письма, которые «приходят через Google», благодаря чему на первый взгляд они выглядят вполне легитимными. Эти письма отправляются через платформу Google AppSheet, поэтому они проходят стандартные технические проверки (SPF, DKIM, DMARC), и многие почтовые фильтры считают их надежными.
Google AppSheet — это платформа для разработки, которая позволяет создавать мобильные и веб-приложения без написания кода. Она способна автоматизировать рабочие процессы и уведомления, которые обычно используются для отправки оповещений из приложений и внутренних обновлений.
И именно этим и воспользовались фишеры. Имя отправителя можно настроить, а адрес отправителя может выглядеть примерно так: noreply@appsheet.com, предоставляемый через appsheet.bounces.google.com. Для обычного пользователя это выглядит как вполне обычное уведомление, в таких случаях часто касающееся нарушений Facebook , жалоб об авторских правах или проблем с подтверждением личности.
Исследователи установили связь между этими электронными письмами и операцией, связанной с Вьетнамом, в результате которой уже было взломано около 30 000 Facebook и которая по-прежнему продолжается.
Украденные аккаунты — это в основном страницы и бизнес-профили, имеющие финансовую ценность: рекламные аккаунты, страницы брендов и компании, которые используют Facebook маркетинговых Facebook . Получив доступ к аккаунтам, злоумышленники организуют мошеннические схемы, размещают мошенническую рекламу или продают доступ другим лицам. В некоторых случаях эта же группа предлагает услуги по «восстановлению аккаунтов», чтобы устранить проблемы, которые они сами и создали.
Мошенничество или честный бизнес? Scam Guard знает.
Независимо от того, чем вас заманивают, цель остается одной и той же: Facebook , коды двухфакторной аутентификации и данные для восстановления доступа. Фишинговые сайты — это лишь отправная точка. За ними стоит целая индустриальная инфраструктура, построенная на базе ботов и каналов Telegram для сбора и обработки похищенных данных.
Как оставаться в безопасности
Эта кампания — не «просто очередное фишинговое письмо». Это ещё один пример того, как злоумышленники злоупотребляют доверием, которое мы оказываем крупным платформам.
Facebook отправляет жалобы, запросы на подтверждение личности, уведомления о проверке безопасности, предложения о работе и другие срочные сообщения через инфраструктуру Google.
- Любое письмо, в котором утверждается, что ваш Instagram Facebook Instagram вот-вот будет заблокирован, закрыт или подвергнут санкциям, заслуживает особого внимания, особенно если в нем содержится требование принять меры в течение 24 часов.
- Если вы получили тревожное сообщение, касающееся вашей учетной записи, перейдите непосредственно на сайт facebook.com или в Facebook . Не переходите по ссылкам в этом сообщении.
- Если в форме запрашивают сразу пароль, несколько кодов двухфакторной аутентификации, дату рождения, номер телефона и фотографии удостоверений личности, то лучше остановиться. Это и есть тот «полный набор данных для восстановления», который нужен злоумышленникам, чтобы завладеть вашей учетной записью.
- Настройте двухфакторную аутентификацию (2FA) в Facebook и включите уведомления о входе с новых устройств и из новых мест.
- Будьте осторожны с необычными сообщениями, поступающими с Facebook . Сам аккаунт может быть взломан.
Совет от профессионала: Malwarebytes Guard поможет вам распознавать фишинговые письма и сообщения на любой платформе. Вы даже можете использовать его в Claude и ChatGPT.
