Tisíce Facebookových účtov ukradli hackeri v novej phishingovej kampani. Zneužili dôveru v Google AppSheet

Kyberzločinci spustili rozsiahlu phishingovú operáciu, ktorá využíva legitímnu službu Google AppSheet na odosielanie podvodných e‑mailov. Podľa spoločnosti Guardio vyšetrujúcej incident bola táto kampaň označená kódovým názvom AccountDumpling a pochádza z Vietnamu. Útočníci pomocou nej získali prístup k približne tridsaťtisíc účtom na Facebooku a predávali ich na ilegálnom trhu.

Ako podvod fungoval

Základnou taktikou bolo zasielanie naliehavých e‑mailov firemným používateľom Facebooku, ktoré sa tvárili, akoby pochádzali priamo od oddelenia podpory Meta. Správa tvrdila, že účet porušuje pravidlá a hrozí jeho zrušenie. Adresa odosielateľa (noreply@appsheet.com) patrí službe Google AppSheet, čo umožnilo obísť bežné spamové filtre a zvýšilo dôveryhodnosť.

E‑mail obsahoval odkaz na falošnú prihlasovaciu stránku, ktorá používateľov vyzvala zadať heslo, dvojfaktorové overovacie kódy či iné citlivé údaje. V skutočnosti tieto údaje putovali útočníkom, ktorí nimi prebrali kontrolu nad firemným profilom a účty predávali na temnom trhu.

Štyri scenáre útoku

Vyšetrovatelia identifikovali štyri hlavné varianty kampane:

• Falošné help‑centro na doméne Netlify. Tie zbierali nielen prihlasovacie údaje, ale aj dátum narodenia, telefónne číslo či fotografiu občianskeho preukazu a posielali ich do telegramových kanálov útočníkov.
• Falošné „overenie modrého odznaku“ hostované na platforme Vercel. Po predstieraní CAPTCHA sa obete dostali na phishingovú stránku, kde museli zadávať kontaktné údaje, heslá a kódy z dvojfaktorového overenia.
• Podvodné PDF návody uložené na Google Drive. Útočníci obete presvedčili, že ide o legitímny postup overenia, a vylákali z nich heslá, 2FA kódy, fotografie dokladov či dokonca screenshoty obrazoviek.
• Falošné pracovné ponuky od firiem ako Meta, WhatsApp, Adobe či Coca‑Cola. Útočníci vytvorili dôveru a následne obete navigovali na škodlivé weby.

Všetky získané údaje boli odosielané na kanály v aplikácii Telegram, kde sa zhromažďovalo približne 30 000 záznamov – obete pochádzali z USA, Kanady, Indie, Austrálie, Spojeného kráľovstva, Brazílie a ďalších krajín.

Kto stojí za útokom

V metadátach podvodných PDF dokumentov sa objavil vietnamský názov „Phạm Tài Tân“. Analýza OSINT odhalila, že rovnaké meno sa nachádza na webovej stránke phamtaitan[.]vn, ktorá ponúka marketingové služby. Výskumníci z Guardio preto predpokladajú, že kampaň riadi vietnamská skupina, ktorá prevádzkuje rozsiahly podzemný trh so skradnutými Facebookovými profilmi.

Prečo je to nebezpečné

Pre kyberzločincov majú najväčšiu hodnotu firemné účty – môžu cez ne spúšťať reklamy, získať prístup k bankovým kartám či kompromitovať reputáciu značky. Útok navyše ukazuje, že dôveryhodné platformy ako Google AppSheet môžu byť zneužité na šírenie podvodných správ. Podľa Guardio nejde o jednorazovú akciu, ale o živú operáciu s komplexnou infraštruktúrou a reálnym panelom pre operátorov.

Ako sa chrániť

• Ignorujte naliehavé výzvy v e‑mailoch a overujte informácie priamo cez oficiálnu aplikáciu alebo web Facebooku.
• Nezadávajte heslá a 2FA kódy mimo oficiálnej prihlasovacej stránky.
• Skontrolujte adresu odosielateľa – hoci môže pôsobiť dôveryhodne, podvodníci zneužívajú legitímne domény.
• Zapnite dvojfaktorové overenie a pravidelne kontrolujte prístup k firemným stránkam.
• Používajte bezpečnostné riešenia a upozornenia na podozrivé prihlásenia.

Záver

Kampaň AccountDumpling znovu poukazuje na to, že aj renomované platformy môžu byť zneužité na podvody. Firmy a správcovia reklamných účtov by mali zvýšiť pozornosť, pravidelne kontrolovať prístupové oprávnenia a informovať svojich zamestnancov o aktuálnych hrozbách. Včasná edukácia a opatrnosť sú najúčinnejšou obranou proti takýmto útokom.