Një operacion phishing i avancuar që shfrytëzon platforma të besuara

Një operacion i ri me lidhje vietnameze është zbuluar duke përdorur shërbimin e Google AppSheet si një “relay” për phishing, me qëllim komprometimin e llogarive në Facebook.

Fushata është emërtuar “AccountDumpling” nga firma e sigurisë Guardio, dhe dyshohet se ka rezultuar në komprometimin e rreth 30,000 llogarive Facebook, të cilat më pas janë shitur në tregje ilegale.

Operacion i gjallë dhe i organizuar kriminalisht

Sipas studiuesit të sigurisë Shaked Chen, kjo nuk ishte një sulm i zakonshëm phishing:

Kjo tregon se sulmi funksionon si një sistem i organizuar ekonomik, jo thjesht një teknikë mashtrimi.

Si fillon sulmi: email-e mashtruese nga Google AppSheet

Sulmi fillon me email-e phishing që synojnë pronarët e llogarive Facebook Business.

• Email-et pretendojnë se vijnë nga Meta Support
• Përdorin adresën: noreply@appsheet.com
• Kjo i lejon të kalojnë filtrat e spam-it

Mesazhet i shtyjnë viktimat të dorëzojnë ankesa ose verifikime, duke kërcënuar me fshirje të llogarisë.

Inxhinieria sociale: krijimi i panikut

• paralajmërime për mbyllje të llogarisë
• shkelje të të drejtave të autorit
• probleme verifikimi
• njoftime false nga Facebook

Këto taktika i shtyjnë përdoruesit të veprojnë shpejt pa verifikim.

Metodat e phishing-ut të përdorura

1. Faqe mashtruese të Facebook Help Center

• Të hostuara në Netlify
• Mbledhin të dhëna personale (datëlindje, numër telefoni, ID)
• Dërgojnë informacionin në Telegram

2. Faqe “Blue Badge Evaluation”

• Të hostuara në Vercel
• Paraqesin CAPTCHA të rreme
• Kërkojnë kredenciale, 2FA kode, informacione biznesi

3. PDF mashtruese në Google Drive

• Paraqiten si udhëzime verifikimi
• Kërkojnë fjalëkalime, 2FA kode, foto ID
• Të krijuara përmes Canva falas

4. Oferta pune false

• Imitojnë kompani si Meta, Apple, Adobe, WhatsApp
• Synojnë krijimin e besimit
• Ridrejtojnë viktimat në faqe mashtruese

Shtrirja globale e sulmit

Rreth 30,000 llogari të komprometuara janë identifikuar në Telegram.

• SHBA
• Itali
• Kanada
• Indi
• Mbretëri e Bashkuar
• Brazil
• Spanjë
• Australi
• Filipine
• Meksikë

Shumë prej tyre janë bllokuar nga llogaritë e tyre.

Identifikimi i grupit sulmues

Hetimet tregojnë lidhje me një individ vietnamez të quajtur PH?M TÀI TÂN, i identifikuar përmes metadata-ve të PDF-ve të krijuara në Canva.

Gjithashtu është zbuluar një faqe e lidhur me aktivitetin e tyre: “phamtaitan[.]vn” – e lidhur me shërbime marketingu digjital

Një industri kriminale, jo vetëm sulm

Sipas analizës së Guardio, kjo fushatë është pjesë e një ekosistemi më të madh:

• llogari Facebook të vjedhura
• reklama të kompromentuara
• identitete biznesi
• akses në reklama dhe pagesa
• shitje në tregje të errëta

Këto asete digjitale janë kthyer në mall tregtar në ekonominë kriminale online.

Përfundim: Kur platformat e besuara bëhen armë sulmi

Fushata AccountDumpling tregon një ndryshim të madh në sigurinë kibernetike moderne:

• Sulmuesit nuk përdorin më vetëm faqe të rreme
• Ata shfrytëzojnë platforma reale si Google, Vercel dhe Netlify
• Besueshmëria e infrastrukturës përdoret si armë

Kjo e bën mbrojtjen më komplekse dhe kërkon:

• verifikim të rreptë të komunikimeve
• edukim të përdoruesve
• sisteme më inteligjente të sigurisë