E-mail prišiel z legitímnej Google adresy, prešiel všetkými bezpečnostnými kontrolami a nič nenasvedčovalo podvodu. Práve to však robí novú phishingovú kampaň mimoriadne nebezpečnou. Bezpečnostní výskumníci z Guard.io odhalili rozsiahlu operáciu, ktorá podľa ich zistení kompromitovala viac než 30-tisíc Facebook účtov po celom svete.

Útočníci zneužili službu Google AppSheet, teda oficiálnu platformu na tvorbu firemných aplikácií a automatizovaných notifikácií. Namiesto bežného spoofingu či falošných domén posielali phishingové správy priamo cez infraštruktúru Googlu, čo výrazne zvyšovalo dôveryhodnosť útoku.

Mnohí používatelia Facebooku, administrátori stránok či firemných Business účtov dostali správu o údajnom porušení pravidiel platformy Meta. E-mail varoval pred zablokovaním účtu, DMCA sťažnosťou alebo stratou overenia profilu. Nechýbal ani falošný „Case ID“ a časový limit na reakciu.

Najväčší problém bol v tom, že tieto správy pôsobili absolútne legitímne. Odosielateľom bolo „noreply@appsheet.com“ a e-maily prešli kontrolami SPF, DKIM aj DMARC, teda štandardnými bezpečnostnými mechanizmami, ktoré majú používateľov chrániť pred podvrhnutou poštou.

Práve tento detail podľa expertov zásadne mení pravidlá hry. Používateľ totiž automaticky predpokladá, že ak správu doručil samotný Google a e-mailový klient ju označí ako bezpečnú, ide o dôveryhodnú komunikáciu. V realite však systém potvrdzuje len to, že správu odoslalo Google prostredie, nie to, že obsah e-mailu je legitímny.

Vytvorili phishingové „impérium“

Bezpečnostná firma Guardio Labs zistila, že nejde o jediný phishingový kit, ale o rozsiahly ekosystém. Operácia prepájala služby ako Netlify, Vercel, Google Drive či Telegram a fungovala prakticky ako organizovaný biznis.

Jedna časť útoku využívala falošné Facebook Help Center stránky hostované na Netlify. Obete po kliknutí na odkaz pristáli na veľmi presvedčivých kópiách stránok Meta, kde zadávali prihlasovacie údaje, telefónne čísla, dátum narodenia a dokonca fotografie občianskych preukazov alebo pasov.

Výskumníci upozorňujú, že útočníkom nešlo len o heslá. Zhromažďovali kompletné údaje potrebné na prevzatie účtu a jeho následné obnovenie aj v prípade, že si používateľ zmení heslo.

Guard.io

Kampaň bola navyše mimoriadne sofistikovaná. Každá obeť často dostala unikátnu phishingovú adresu na samostatnej Netlify subdoméne. V praxi to znamená, že klasické blacklisty URL adries strácali účinnosť, pretože podvodná stránka bola po krátkom čase nahradená novou.

V niektorých prípadoch útočníci použili aj nástroj HTTrack na klonovanie reálnych stránok. Výskumníci našli v zdrojových kódoch stopy po ukradnutých šablónach či kópiách originálnych Meta stránok.

Dáta odtekali cez Telegram

Vyšetrovanie sa výrazne posunulo po odhalení Telegram botov, cez ktoré útočníci zbierali údaje obetí v reálnom čase. V kódoch phishingových stránok boli ukryté tokeny, ID chatov a ďalšie identifikátory.

Guardio Labs odhaduje, že len zo sledovaných aktívnych kanálov získali útočníci údaje približne 30-tisíc obetí. Počas vyšetrovania pritom nové dáta stále pribúdali, takže reálny počet kompromitovaných účtov môže byť výrazne vyšší.

Guard.io

Najviac obetí pochádzalo z USA, no útok zasiahol viac než 50 krajín vrátane európskych štátov. Medzi zasiahnutými používateľmi boli firmy, administrátori reklamných účtov aj prevádzkovatelia väčších Facebook stránok s reálnou komerčnou hodnotou.

Niektoré obete po strate účtov zaznamenali podozrivé finančné transakcie, zneužitie platobných kariet alebo poškodenie podnikania. Odcudzené profily totiž často slúžia na ďalšie podvody, šírenie reklám, dezinformácií alebo prevádzku falošných obchodov.

Stopa vedie do Vietnamu

Zaujímavý zlom prišiel pri analýze PDF dokumentu uloženého na Google Drive. Súbor vytvorený cez Canvu obsahoval metadata s menom vietnamského autora PHẠM TÀI TÂN.

Výskumníci následne našli verejný Facebook profil aj webovú stránku osoby, ktorá ponúkala služby spojené s „odomknutím“ Facebook účtov či bezpečnostnou pomocou. Hoci nejde o definitívny dôkaz priamej viny, všetky zistenia podľa expertov zapadajú do širšieho obrazu organizovanej phishingovej infraštruktúry prepojenej na vietnamské skupiny.

Celá operácia podľa Guardio Labs funguje ako moderný digitálny dodávateľský reťazec. Jedna skupina vytvára phishingové nástroje, druhá zabezpečuje distribúciu a tretia následne speňažuje ukradnuté účty alebo dokonca ponúka ich „obnovenie“ späť pôvodným majiteľom.

Pre bežných používateľov je tento prípad ďalším dôkazom, že ani zelené bezpečnostné indikátory v e-mailoch už automaticky neznamenajú dôveryhodnosť. Útočníci dnes čoraz častejšie zneužívajú legitímne cloudové služby veľkých technologických firiem, aby obišli tradičné bezpečnostné filtre.

Čítajte viac z kategórie: Aplikácie