Фишеры крадут аккаунты в соцсети через сервисы Google
3 мин
11
В масштабной фишинговой кампании по краже аккаунтов Facebook (соцсеть принадлежит компании Meta Platforms, чья деятельность признана экстремистской и запрещена в РФ) используются доверенные сервисы Google. Через них злоумышленники отправляют поддельные письма, что делает атаку особенно опасной.
Фишинговая рассылка ведётся через платформу Google AppSheet. Это сервис для создания мобильных и веб-приложений без написания кода, который обычно используется для автоматизации рабочих процессов и отправки уведомлений. Письма проходят все стандартные технические проверки безопасности, включая SPF, DKIM и DMARC. Почтовые фильтры воспринимают такие сообщения как легитимные.
Адрес отправителя выглядит как noreply@appsheet.com, а доставка происходит через appsheet.bounces.google.com. Обычному пользователю сообщение напоминает стандартное уведомление от сервиса. Мошенники маскируют письма под информирование о нарушении правил соцсети, жалобах на авторские права или проблемах с верификацией аккаунта.
Исследователи связывают атаки с группировкой из Вьетнама. Киберпреступники уже скомпрометировали 30 тысяч аккаунтов и продолжают активную деятельность. Основная цель злоумышленников — это бизнес-страницы и рекламные кабинеты, которые имеют финансовую ценность. После получения доступа мошенники запускают фиктивные рекламные кампании, размещают собственные объявления или продают доступ к взломанным аккаунтам третьим лицам. В некоторых случаях та же группа предлагает услуги по восстановлению доступа к аккаунтам, проблемы с которыми создала она же.
Фишинговые сайты служат только точкой входа. За ними стоит развитая инфраструктура на базе телеграм-ботов и каналов для сбора и обработки украденных данных. Злоумышленники собирают учётные данные соцсети, коды двухфакторной аутентификации и информацию для восстановления доступа.
Эксперты отмечают, что соцсеть не рассылает уведомления о нарушениях, запросы на верификацию или проверки безопасности через инфраструктуру Google. Особое внимание следует обращать на письма с угрозами блокировки или заморозки аккаунта, требующие срочных действий в течение 24 часов. При получении подозрительного сообщения рекомендуется заходить в аккаунт напрямую через официальный сайт или приложение, а не по ссылкам из письма.
Специалисты предупреждают об опасности форм, которые одновременно запрашивают пароль, несколько кодов двухфакторной аутентификации, дату рождения, номер телефона и фотографии документов. Это полный набор данных, необходимый для захвата аккаунта. Для защиты пользователям советуют включить двухфакторную аутентификацию и настроить уведомления о входах с новых устройств и из новых локаций.
