Attenzione: i tuoi account Facebook potrebbero essere a rischio! Hacker stanno rubando migliaia di profili aziendali inviando email phishing che sembrano provenire da Google. Soluzione rapida: non cliccare mai sui link nelle email sospette, accedi sempre direttamente da facebook.com e attiva l’autenticazione a due fattori (2FA).
Questa campagna di phishing è attiva da tempo e ha già compromesso circa 30.000 account, soprattutto pagine business e profili advertiser. Gli attaccanti sfruttano la fiducia che tutti riponiamo in servizi come Google per ingannare gli utenti. Immagina di ricevere un’email che avverte di una violazione della policy Facebook, un reclamo per copyright o un problema di verifica: sembra urgente e legittimo. Ma è una trappola.
Come funziona l’inganno
Le email vengono inviate tramite Google AppSheet, una piattaforma no-code per creare app e automatizzare notifiche. Questo tool permette di personalizzare il nome del mittente e usa domini come appsheet.bounces.google.com, che passano tutti i controlli anti-spam: SPF, DKIM e DMARC. Risultato? Le email arrivano in inbox senza filtri e appaiono come notifiche ufficiali.
Il messaggio tipicamente crea panico: “Il tuo account sarà sospeso entro 24 ore per violazione delle norme”. L’utente clicca sul link, atterra su un falso sito Facebook e inserisce credenziali, codici 2FA, data di nascita, numero di telefono e persino foto del documento d’identità. Con questi dati, gli hacker prendono il pieno controllo.
Gli account rubati hanno un alto valore economico. Sono profili con budget pubblicitari, pagine brand o aziende che usano Facebook per marketing. Una volta dentro, i criminali:
- Lanciare truffe e annunci fraudolenti.
- Vendere l’accesso ad altri malviventi.
- Offrire ironicamente servizi di “recupero account” per i problemi che hanno causato.
L’operazione è legata a un gruppo con connessioni vietnamite e usa un’infrastruttura industriale: bot Telegram per raccogliere e gestire i dati rubati.
Consigli pratici per proteggerti
Non sottovalutare queste email: sono più sofisticate delle solite phishing. Ecco come difenderti:
- Verifica sempre direttamente su Facebook: usa l’app o il sito ufficiale, ignora i link nelle email.
- Attiva la 2FA: configura l’autenticazione a due fattori e gli alert per login da nuovi dispositivi.
- Sii sospettoso: Facebook non invia avvisi urgenti tramite Google. Nessun reclamo, verifica o minaccia di sospensione arriva da domini esterni.
- Controlla i form: se chiedono password, più codici 2FA, dati personali e foto ID in un colpo solo, è una truffa.
- Monitora i messaggi: anche comunicazioni da account Facebook amici potrebbero essere compromessi.
Pro tip: usa tool anti-phishing per scansionare email e messaggi su tutte le piattaforme.
Approfondimento tecnico
Questa campagna evidenzia vulnerabilità sistemiche nell’ecosistema email e nelle piattaforme no-code. Analizziamo i dettagli tecnici per chi vuole comprendere a fondo.
Meccanismo di invio email
Google AppSheet è una piattaforma low-code/low-no-code per building app mobili e web. Integra con Google Workspace e permette automazioni, inclusi invii email. Gli attaccanti creano workflow che:
- Personalizzano il From name (es. “Facebook Security Team”).
- Usano sender address come noreply@appsheet.bounces.google.com.
- Sfruttano l’infrastruttura Google per bypassare filtri:
- SPF: Record DNS che autorizza appsheet.bounces.google.com come sender legittimo per domini Google.
- DKIM: Firma digitale generata da server Google, verificata dai provider email.
- DMARC: Politica allineata che non blocca i messaggi “through Google”.
Codice di esempio per un workflow AppSheet (pseudocodice):
function sendPhishingEmail(userEmail, template) {
var app = AppSheet.getActiveApp();
var emailService = app.getEmailService('google-bounces');
emailService.send({
to: userEmail,
from: 'noreply@appsheet.bounces.google.com',
fromName: 'Team sicurezza Facebook',
subject: 'Urgente: verifica account entro 24h',
body: template.renderPhishingContent()
});
}
Infrastruttura backend
Oltre alle email, c’è un ecosistema:
- Siti phishing: Cloni di login.facebook.com, ospitati su domini typosquattati o compromessi.
- Bot Telegram: Canali privati per aggregare credenziali. Esempio flusso:
- Utente submit form → dati POST a server PHP.
- Server inoltra a Telegram bot via API.
- Bot notifica admin e archivia in database (MySQL/MongoDB).
- Monetizzazione: Vendita su mercati dark web o uso diretto per ad fraud (es. boost post con carte rubate).
Statistiche stimate: 30.000+ account compromessi, valore medio per profilo business: 100-500€ in crediti ad o accesso rivenduto.
Difese avanzate
Per esperti:
- Monitoraggio DMARC: Implementa report DMARC per tracciare email spurie.
- API Facebook Graph: Usa endpoint /me/security per alert programmatici.
- YARA rules per hunting phishing:
rule FacebookPhishingGoogle {
strings:
$s1 = "appsheet.bounces.google.com" nocase
$s2 = "account sospeso" nocase
$s3 = "verifica entro 24 ore"
condition:
all of them
}
- Zero-trust email: Configura gateway come Proofpoint o Mimecast per sandboxing link.
Evoluzione della minaccia
Questa tecnica è scalabile: AppSheet è solo un vettore. Simili abusi su Zapier, Make.com o Microsoft Power Automate. Trend 2026: aumento del 40% in phishing via trusted SaaS (dati da report threat intel).
Proteggiti ora: combina awareness umana con tool automatizzati. La sicurezza è multilayer.
(Parole totali: circa 1050)
