Vietnamesische Cyberkriminelle haben rund 30.000 Facebook-Konten gekapert – und Google hat dabei unfreiwillig die Drecksarbeit erledigt. Wie The Hacker News berichtet, nutzten die Angreifer Googles No-Code-Plattform AppSheet als Phishing-Relais, um gefälschte Meta-Support-Mails zu verschicken. Weil die E-Mails von der seriösen Google-Adresse noreply@appsheet.com kamen, passierten sie Spam-Filter schlicht ungehindert.
Die Sicherheitsfirma Guardio hat der Operation den Codenamen AccountDumpling gegeben. Das Prinzip ist dreist simpel: Kontoinhaber von Facebook-Business-Seiten erhalten eine dringlich formulierte Warnung von angeblichem „Meta Support“ – entweder drohe die endgültige Sperrung, oder eine Urheberrechtsbeschwerde liege vor. Wer dem Link folgt, landet auf täuschend echt gestalteten Phishing-Seiten, die Zugangsdaten, Zwei-Faktor-Codes, Ausweisfotos und sogar Browser-Screenshots abgreifen. Die erbeuteten Daten landen direkt in Telegram-Kanälen der Täter.
Die Operation gliedert sich in vier Cluster: Auf Netlify gehostete gefälschte Facebook-Hilfeseiten, mit falschen CAPTCHA-Checks gesperrte „Security Check“-Seiten auf Vercel, als Verifizierungsanleitung getarnte Google-Drive-PDFs sowie fingierte Jobangebote, die angeblich von WhatsApp, Meta, Adobe, Apple oder Coca-Cola stammen sollen. Der Überführungsnachweis kam aus dem dritten Cluster: In den über Canva erstellten PDFs war ein vietnamesischer Name als Autor hinterlegt – „PHẠM TÀI TÂN“ – verknüpft mit einer digitalen Marketingagentur aus Vietnam.
Die gestohlenen Konten werden anschließend über einen kriminellen Onlineshop der Täter weiterverkauft. Facebook-Business-Konten mit aufgebautem Anzeigen-Guthaben oder verifizierten Seiten erzielen auf dem Schwarzmarkt erhebliche Summen. Guardio-Forscher Shaked Chen bringt es auf den Punkt: Es handle sich nicht um ein einzelnes Phishing-Kit, sondern um eine industrialisierte Operation mit Echtzeit-Kontrollpanels, kontinuierlicher Weiterentwicklung und einem kriminell-kommerziellen Kreislauf. Die Täter stehlen Konten – und verkaufen ihren Opfern teils deren Wiederherstellung gleich hinterher.
Googles AppSheet ist dabei nur das aktuell bevorzugte Einfallstor. Dass Kriminelle legitime Cloud-Dienste – Google, Netlify, Vercel, Canva, Telegram – als Infrastruktur missbrauchen, ist kein Zufall: Es macht automatisierte Erkennung nahezu wirkungslos, solange die Plattformbetreiber nicht aktiv mitziehen.
Zweitveröffentlichung ist bei Verlinkung zur Originalquelle in unveränderter Form gestattet.
↓ Als Textdatei (.txt) ↓ Als HTML-Datei (.html)
Schreibe einen Kommentar