Een gevaarlijke nieuwe phishingcampagne misbruikt een legitieme dienst van Google om Facebook-accounts te hacken. Cybercriminelen maken hierbij gebruik van Google AppSheet, een platform voor het ontwikkelen van no-code apps, en gebruiken de ingebouwde workflow-automatisering om phishingmails te versturen via het officiële e-mailadres noreply@appsheet.com.
Deze phishingmails lijken afkomstig van Facebook en zijn bedoeld om nietsvermoedende gebruikers hun inloggegevens, 2FA-codes (twee-factor-authenticatie) en uiteindelijk hun sessietokens te ontfutselen. Hiermee kunnen de aanvallers volledige controle overnemen over een Facebook-account, zelfs als het wachtwoord later wordt gewijzigd.
Misbruik van vertrouwde platforms
Doordat de mails via AppSheet worden verstuurd, komen ze vanuit een legitiem Google-domein. Hierdoor omzeilen ze effectief veelgebruikte beveiligingsmaatregelen zoals Microsoft Exchange-beveiliging en zogenaamde Secure Email Gateways (SEGs), die normaal gesproken verdachte afzenders blokkeren op basis van domeinreputatie en authenticatiecontroles (SPF, DKIM, DMARC).
Daarnaast maakt AppSheet het mogelijk om per mail unieke ID’s te genereren, waardoor iedere e-mail net iets anders is. Dit maakt het voor spamfilters en detectiesystemen extra lastig om patronen te herkennen en de berichten tegen te houden.
Inhoud van de phishingmail
De mails doen alsof ze afkomstig zijn van Facebook en waarschuwen de ontvanger dat hun account binnen 24 uur zal worden verwijderd wegens een vermeende schending van het auteursrecht. In de e-mail staat een knop met de tekst “Dien een beroep in”, die slachtoffers zogenaamd de kans biedt om bezwaar te maken.
Wie op de knop klikt, komt op een overtuigend nagemaakte Facebook-pagina terecht, gehost op Vercel – een gerenommeerd platform voor moderne webapplicaties. Deze hostingkeuze draagt bij aan de geloofwaardigheid van de aanval.
Inlogval en sessietokens
Zodra het slachtoffer zijn gebruikersnaam en wachtwoord invoert, gebeurt er iets opmerkelijks: er verschijnt een foutmelding met “verkeerd wachtwoord”. Deze melding is echter misleidend – het doel is om te verifiëren dat de gebruiker echt probeert in te loggen. Bij een tweede poging wordt vaak om een 2FA-code gevraagd.
De ingevoerde codes worden direct doorgestuurd naar de echte Facebook-servers, waar de aanvallers op dat moment proberen in te loggen. Zodra dat lukt, onderscheppen ze het sessietoken – een digitale sleutel die toegang geeft tot het account, zelfs als later het wachtwoord wordt aangepast.
Waarom deze aanval zo gevaarlijk is
Doordat deze campagne gebruikmaakt van betrouwbare platforms zoals Google AppSheet en Vercel, en tegelijkertijd werkt met unieke mailinhoud en domeinauthenticatie, weten de aanvallers vrijwel moeiteloos langs veel beveiligingslagen te glippen. Gebruikers vertrouwen bovendien sneller op communicatie die van een legitieme bron lijkt te komen, waardoor ze sneller geneigd zijn op de links te klikken en hun gegevens prijs te geven.
Het is dan ook belangrijk dat gebruikers extra alert zijn op e-mails waarin wordt gedreigd met het verwijderen van accounts of andere urgente waarschuwingen. Controleer altijd het webadres in de browser en log nooit via links in e-mails in op belangrijke accounts. Typ liever zelf het adres van bijvoorbeeld Facebook in de browserbalk om zeker te weten dat je op de juiste plek bent.
Door: Drifter
Aanbevolen Reacties
Er zijn geen reacties om weer te geven.
Log in om te reageren
Je kunt een reactie achterlaten na het inloggen
Login met de gegevens die u gebruikt bij softtrack