Zneužili bežnú službu od Googlu
Bezpečnostní výskumníci upozorňujú na rozsiahlu phishingovú kampaň, pri ktorej útočníci ukradli približne 30-tisíc Facebook účtov. Najväčší problém je v tom, že podvodné e-maily prichádzali cez legitímnu službu od Googlu, takže pôsobili dôveryhodne a často bez problémov prešli aj spam filtrami.
Hackeri zneužili platformu Google AppSheet, ktorá slúži na tvorbu firemných aplikácií bez programovania. Práve cez ňu rozposielali falošné upozornenia vydávajúce sa za komunikáciu od Facebooku či Meta podpory.
E-maily vyzerali úplne legitímne
Útočníci stavili na psychologický tlak. Obete dostávali správy o údajnom porušení pravidiel Facebooku, hroziacom zablokovaní stránky alebo problémoch s reklamnými účtami. V mnohých prípadoch išlo o firemné profily či reklamné účty s vysokou hodnotou.
Najväčší problém bol v tom, že správy prichádzali cez infraštruktúru Googlu. E-maily preto prešli bezpečnostnými kontrolami SPF, DKIM aj DMARC a mnohé bezpečnostné systémy ich vyhodnotili ako dôveryhodné. Bežný používateľ tak prakticky nemal dôvod pochybovať o ich pravosti.
Ako píše Guardio, po kliknutí na odkaz sa obeť dostala na falošnú prihlasovaciu stránku Facebooku, kde zadala prihlasovacie údaje, dvojfaktorové kódy a niekedy dokonca aj fotografie dokladov totožnosti.
Ukradnuté účty následne predávali
Výskumníci tvrdia, že za útokmi pravdepodobne stojí skupina napojená na Vietnam. Ukradnuté účty následne slúžili na podvody, šírenie reklám alebo ďalšie phishingové kampane. Časť účtov sa údajne predávala na čiernom trhu.
Zasiahnuté boli hlavne Facebook Business účty a reklamné profily, ktoré majú pre podvodníkov vysokú hodnotu. Firmy totiž často spravujú platené kampane s pripojenými platobnými kartami.
Bezpečnostné komunity na Reddite upozorňujú, že podobné útoky sú čoraz sofistikovanejšie. Útočníci dnes už často nekradnú heslá priamo, ale snažia sa zneužiť OAuth autorizácie alebo legitímne cloudové služby.
Google aj Meta majú problém
Prípad opäť otvoril diskusiu o dôvere v cloudové služby veľkých technologických firiem. Google síce priamo nebol hacknutý, no jeho infraštruktúra poslúžila ako nástroj na šírenie podvodov. Podobné prípady pritom nie sú nové. Meta už v minulosti priznala existenciu stoviek škodlivých aplikácií, ktoré kradli Facebook prihlasovacie údaje cez Android aj iPhone aplikácie.
Výskumníci zároveň upozorňujú, že moderné phishingové útoky čoraz viac zneužívajú dôveru používateľov vo veľké platformy. Ak e-mail vyzerá, že prišiel od Googlu alebo Microsoftu, veľká časť ľudí automaticky predpokladá, že je bezpečný.
Ako sa chrániť pred podobným útokom
Experti odporúčajú nikdy neotvárať odkazy z urgentných e-mailov o blokovaní účtu. Ak príde podozrivá správa o Facebook profile, používateľ by sa mal prihlásiť priamo cez oficiálnu stránku alebo aplikáciu, nie cez odkaz v e-maile.
Dôležité je aj zapnutie dvojfaktorového overenia a kontrola aplikácií, ktoré majú prístup k Google alebo Facebook účtu. Mnohí používatelia totiž ani netušia, koľko externých služieb má stále aktívne oprávnenia.
Bezpečnostní analytici upozorňujú, že podobných kampaní bude pribúdať. Útočníci totiž zistili, že zneužiť dôveryhodné cloudové platformy je často efektívnejšie než klasický spam či malware.
