Bolo kompromitovaných viac ako 30-tisíc Facebook účtov. Nový podvod zneužíva legitímnu službu Googlu. Medzi obeťami môžu byť aj Slováci
Podvodníci zneužili Google AppSheet na rozosielanie phishingových e-mailov, ktoré vyzerali dôveryhodne a cielili na správcov Facebook stránok. Výskumníci hovoria o približne 30-tisíc kompromitovaných účtoch.
Na prvý pohľad to vyzeralo ako bežné varovanie pre správcu Facebook stránky. Účet vraj porušil pravidlá, treba sa okamžite odvolať, inak príde zablokovanie. Lenže za týmito správami sa podľa výskumníkov z Guardio Labs skrývala rozsiahla phishingová operácia AccountDumpling, pri ktorej útočníci kompromitovali približne 30-tisíc Facebook účtov.
Najnebezpečnejšie na celej kampani bolo to, že e-maily nechodili z pochybnej adresy ani z podozrivého servera. Útočníci zneužili Google AppSheet, legitímny nástroj Googlu na tvorbu jednoduchých aplikácií a automatizovaných upozornení. Správy tak prichádzali cez infraštruktúru Googlu a na prvý pohľad pôsobili oveľa dôveryhodnejšie než bežný phishing.
Podvodný e-mail prišiel cez Google, preto nepôsobil ako obyčajný spam
Správy mierili hlavne na majiteľov a správcov Facebook Business účtov. Útočníci im tvrdili, že ich účet porušil pravidlá platformy a ak do 24 hodín nezareagujú, môže byť natrvalo deaktivovaný. Presne takýto tlak podvodníci používajú radi. Človek nemá premýšľať, má sa zľaknúť a rýchlo kliknúť.
Na celej kampani bolo nepríjemné najmä to, odkiaľ e-maily prichádzali. Nešlo o náhodnú podozrivú doménu, ktorú by si si všimol už na prvý pohľad. Správy odchádzali z adresy noreply@appsheet.com a doručovali sa cez appsheet.bounces.google.com. Inými slovami, technicky ich posielala legitímna infraštruktúra Googlu.

Preto prešli aj kontrolami, na ktoré sa e-mailové služby bežne spoliehajú. SPF, DKIM aj DMARC ukazovali, že správa skutočne prišla z platformy, za ktorú sa vydáva. Lenže práve tu je háčik. Tieto kontroly nehovoria nič o tom, či je obsah správy pravdivý. Potvrdzujú len to, kto e-mail doručil.
Neprehliadni
„Plne overený e-mail dokazuje iba to, že ho odoslala daná platforma. Neznamená to, že samotná správa je bezpečná,“ upozorňujú výskumníci.
Google AppSheet je pritom legitímny nástroj na tvorbu jednoduchých aplikácií bez programovania a na posielanie automatických upozornení. Firmy ho môžu používať napríklad na interné notifikácie alebo pracovné procesy. Útočníci však túto funkciu otočili proti používateľom. Nevlámali sa do Googlu ani nemuseli falšovať jeho doménu. Stačilo im zneužiť službu tak, aby za nich doručovala podvodné správy.
Útočníci menili návnady, cieľ bol stále rovnaký: dostať sa k Facebook účtom
Útočníci pritom nestavili len na jeden scenár. Kampaň rozbehli vo viacerých podobách, aby zasiahli čo najviac správcov Facebook stránok. V jednej verzii obeť vystrašili tým, že jej stránka údajne porušila autorské práva, pravidlá Meta alebo ochrannú známku. Po kliknutí sa človek dostal na falošné centrum pomoci Facebooku, ktoré bolo hostované cez Netlify.

Na prvý pohľad takáto stránka pôsobila ako miesto, kde sa môžeš proti blokácii účtu odvolať. V skutočnosti však zbierala všetko, čo útočník potrebuje na prevzatie účtu. Nešlo len o e-mail a heslo. Formulár od obetí pýtal aj dátum narodenia, telefónne číslo a dokonca fotografie dokladov totožnosti. To už nie je obyčajná krádež hesla, ale pokus získať celý balík údajov, cez ktorý sa dá účet neskôr oveľa ľahšie ovládnuť alebo obnoviť v prospech útočníka.
Podvodníci si zároveň dávali pozor, aby ich stránky nezmizli príliš rýchlo z obehu. Mnohým obetiam posielali odkazy na jedinečné Netlify subdomény. Pre bezpečnostné filtre je to problém, pretože nejde o jeden spoločný odkaz, ktorý sa dá jednoducho nahlásiť a zablokovať. Kým sa konkrétna adresa dostane na blacklist, svoju prácu už často splnila.
Druhá vetva útoku pracovala opačne. Namiesto strachu ponúkala odmenu. Správy sľubovali overenie účtu, Blue Badge, reklamné benefity alebo kontrolu bezpečnosti profilu. Obeť sa následne dostala na stránky hostované cez Vercel, ktoré sa tvárili ako Security Check alebo Meta | Privacy Center. Aj tu však išlo len o dobre pripravenú kulisu, ktorá mala z človeka vytiahnuť kontaktné údaje, informácie o firme, heslo a v ďalšom kroku aj dvojfaktorové kódy.

V PDF súbore zostala stopa, ktorú útočníci zrejme prehliadli
Tretí typ útokov využíval Google Drive na hostovanie PDF súborov, ktoré sa tvárili ako inštrukcie na dokončenie overovania účtu. Tieto dokumenty vytvorili cez bezplatnú službu Canva a práve tam podľa výskumníkov zostala stopa, ktorú útočníci zrejme prehliadli.
V metadátach PDF súborov sa podľa Guardio Labs objavilo vietnamské meno „PHẠM TÀI TÂN“ ako autor dokumentov. Ďalšie preverovanie viedlo k webstránke phamtaitan.vn, kde sa ponúkajú služby digitálneho marketingu.
„Špecializujeme sa na poskytovanie služieb digitálneho marketingu, marketingových zdrojov a poradenstva o efektívnych stratégiách digitálneho marketingu.“
Štvrtá vetva využívala falošné pracovné ponuky. Útočníci sa vydávali za zamestnancov spoločností ako WhatsApp, Meta, Adobe, Pinterest, Apple či Coca-Cola, budovali dôveru s obeťami a presmerovávali ich na webstránky pod svojou kontrolou.
Ukradnuté údaje končili v Telegrame, kde ich operátori sledovali v reálnom čase
Tri hlavné vetvy útokov viedli k Telegram kanálom, kde sa zhromažďovali ukradnuté údaje. Výskumníci tam našli záznamy približne 30-tisíc obetí naprieč celým svetom.
Väčšina týchto ľudí už nemala prístup k vlastným účtom. Operácia totiž nefungovala len ako krádež. Ukradnuté účty sa podľa výskumníkov predávali späť cez nelegálny obchod, ktorý prevádzkovali tie isté ruky napojené na celú schému.
Novšie verzie phishingových stránok presunuli odosielanie ukradnutých údajov na serverovú stranu. Staršie podvodné stránky často odhaľovali Telegram bot tokeny priamo v JavaScript kóde. Novšie varianty už používali serverless funkcie typu /.netlify/functions/send, ktoré údaje preposielali ďalej cez premenné prostredia. Pre výskumníkov to znamená menej viditeľných stôp a pre bežné filtre ťažšiu prácu.
Za phishingovými stránkami nesedel len kód, ale aj ľudia, ktorí obete navigovali v reálnom čase
Bezpečnostný výskumník Shaked Chen zdôraznil, že nešlo o jednoduchý phishingový kit. Operácia mala reálne operátorské panely, pokročilé techniky na obchádzanie detekcie, priebežne sa menila a vytvárala kriminálno-komerčnú slučku, v ktorej sa ukradnuté účty stávali ďalším tovarom.
Útočníci využívali rôzne techniky na obídenie detekcie. V zobrazovaných menách odosielateľov používali neviditeľné znaky Unicode. Text správ rozbíjali uprostred slov, aby zmiatli systémy, ktoré automaticky vyhodnocujú obsah e-mailov.
Pokročilejšie verzie neposielali obeť z e-mailu priamo na phishingovú stránku. Najprv ju previedli cez viacero skrátených odkazov, aby skryli skutočnú adresu podvodnej stránky. Phishing sa následne načítal vo fullscreen iframe, teda v okne, ktoré prekrylo celú obrazovku. Adresný riadok prehliadača tak neukázal skutočnú destináciu. Obeť videla len skrátenú adresu a známe rozhranie pripomínajúce Facebook.
Operácia s vietnamskou stopou ukazuje nový typ hrozby, kde sa dôveryhodné platformy menia na nástroje doručovania, hostovania a monetizácie pre kyberkriminálnikov. Ukradnuté Facebook účty, obchodné identity, reklamná reputácia aj možnosti obnovy účtov sa stali obchodovateľným tovarom na čiernom trhu.