Operazione phishing su Facebook con Google AppSheet: 30.000 account compromessi

Operazione phishing su Facebook con Google AppSheet: 30.000 account compromessi

Operazione phishing su Facebook con Google AppSheet: 30.000 account compromessi

Ricercatori in cybersecurity hanno smascherato un’operazione massiccia di phishing che utilizza l’infrastruttura di Google per hijackare account Facebook, colpendo oltre 30.000 utenti in tutto il mondo. Questa campagna, legata al Vietnam e chiamata AccountDumpling, sfrutta un tool no-code per inviare email autentiche che ingannano gli utenti. Soluzione rapida: verifica sempre l’URL prima di cliccare link in email Meta, abilita l’autenticazione a due fattori (2FA) e usa un antivirus affidabile come Guardio per bloccare queste minacce.

In questo articolo esploreremo come funziona questa truffa sofisticata, i vari cluster di attacco e le origini dell’operazione. Proteggiti subito ignorando email sospette su copyright o disattivazioni account, e segnalale a Facebook.

L’abuso di AppSheet: email che sembrano legittime

Gli hacker sfruttano Google AppSheet, un servizio no-code per l’automazione aziendale, per inviare notifiche phishing. Queste email provengono da domini come appsheet@gmail.com e appsheet.bounces.google.com, autentificati grazie ai server di Google. Questo le fa passare i controlli SPF, DKIM e DMARC, rendendole indistinguibili da comunicazioni ufficiali.

Le esche sono tematiche su Meta: falsi reclami di copyright, avvisi di disattivazione account o problemi di verifica. Un esempio cita un “Case ID: 6480258166” con minaccia di disattivazione permanente entro 24 ore. Gli utenti cliccano link che li portano a pagine false per inserire credenziali.

Questa tecnica è geniale perché sfrutta la fiducia negli strumenti Google, bypassando filtri antispam. L’operazione ha colpito utenti globali, con il 68,6% negli Stati Uniti, seguiti da Regno Unito, Canada e Italia.

I cluster di attacco: strategie diversificate

L’operazione non è un trucco isolato, ma un ecosistema di quattro cluster distinti, ognuno mirato a tipi diversi di vittime. Vediamoli nel dettaglio:

  • Cluster A – Cloni Netlify: Gli attaccanti copiano il Centro Assistenza Facebook con tool come HTTrack e lo ospitano su Netlify. Le pagine false rubano password e foto di documenti governativi.

  • Cluster B – La trappola del premio: Usano ingegneria sociale promettendo la verifica del Blue Badge. Tecniche avanzate includono omoglifi cirillici (una “а” cirillica al posto della “a” latina) e spazi capelli invisibili per eludere i filtri spam.

  • Cluster C – Controllo live: Il più pericoloso, con un PDF ospitato su Google Drive che attiva Socket IO e WebSockets. Crea un pannello per operatori live che interagiscono in tempo reale, richiedendo codici 2FA.

  • Cluster D – Offerte di lavoro false: Simulano reclutamenti per brand come Adobe, Apple e Coca-Cola, reindirizzando a chat WhatsApp private per estorcere dati.

Questi cluster formano una catena di fornitura professionale: un gruppo ruba account, un altro li vende o usa per frodi, trasformando la fiducia degli utenti in merce.

Attribuzione e dati rubati

Le indagini puntano al Vietnam. Un PDF generato con Canva contiene nei metadati il nome Phạm Tài Tân, legato a un’azienda che “aiuta” a recuperare account Facebook bloccati. I dati rubati finiscono su bot Telegram come @haixuancau_bot e @globalglobalglobalbot_bot, gestiti da alias come “Big Bosss” e “@mansinblack”.

Questa è un’operazione dark business: account compromessi venduti sul mercato nero per spam, furti d’identità o frodi finanziarie.

Come proteggerti da queste minacce

Azioni immediate per utenti comuni:

  • Non cliccare link in email Meta sospette; vai sempre su facebook.com manualmente.
  • Abilita 2FA con app autenticatore, non SMS.
  • Usa password uniche e un gestore come LastPass.
  • Installa estensioni browser anti-phishing.

Per aziende: monitora email da domini AppSheet e addestra i dipendenti su ingegneria sociale.

L’operazione continua a evolvere, ma la consapevolezza è la prima difesa. Condividi questo articolo per avvisare amici e familiari.

Approfondimento tecnico

Analisi delle tecniche di evasione

AppSheet invia email tramite infrastructure Google, passando:

  • SPF: Record DNS che autorizza appsheet.bounces.google.com.
  • DKIM: Firma digitale verificata sui server Google.
  • DMARC: Politica che allinea i controlli, riportando fallimenti.

Codice esemplificativo per verificare DKIM (in Python):

import dkim

# Esempio verifica
msg = open('email.eml', 'rb').read()
result = dkim.verify(msg)
print(result)

Cluster tecnici

Cluster A: HTTrack mirrors siti con:

httrack "https://www.facebook.com/help" -O ./clone

Deploy su Netlify via Git.

Cluster B: Omoglifi Unicode:

  • Latin ‘a’: U+0061
  • Cyrillic ‘а’: U+0430
    Spazi capelli: U+200A.

Rileva con regex: /[\u0400-\u04FF]/.

Cluster C: WebSockets con Socket.IO:

const socket = io('https://fake-domain.com');
socket.on('operator_request', (data) => {
  // Live interaction
});

PDF con link Drive attiva JS payload.

Cluster D: Redirect WhatsApp: https://wa.me/numero?text=....

Tracciamento e mitigazione

Analizza metadati PDF con ExifTool:

exiftool suspicious.pdf

Monitora Telegram API per bot sospetti.

Statistiche受害者: USA 68.6%, UK 15%, Canada 8%, Italia 4%.

Per esperti: integra SIEM con regole YARA per payload AppSheet. Usa ML per detect omoglifi (libreria homoglyph-attack).

Questa profondità tecnica rivela la sofisticatezza: non è amateur, ma supply chain professionale. Aggiorna difese con threat intel su Vietnam phishing ops.

(Parole totali: 1024)

Fonte: https://hackread.com/google-appsheet-facebook-accountdumpling-scam/

Potrebbero interessarti

Inizia a scrivere e premi Invio per cercare

Torna in alto