شنّت حملة تصيد احتيالي هجومًا على 30,000 حساب في فيسبوك من خلال استغلال خدمة Google AppSheet. أنشأ المهاجمون تطبيقات بدون كود تبدو شرعية، مخادعين المستخدمين لمنح أذونات خطيرة. من خلال رسائل بريد إلكتروني وإشعارات مزيفة من فيسبوك، كان الضحايا ينقرون على روابط تسرق بيانات الاعتماد وتستولي على حساباتهم، مما يعرض بياناتهم الحساسة للخطر.
إساءة استخدام منصات بدون كود كمتجه للهجوم 🛡️
تتيح Google AppSheet إنشاء تطبيقات دون برمجة، لكن تم تحريف استخدامها الشرعي. صمم المهاجمون واجهات تحاكي فيسبوك، طالبين أذونات OAuth للوصول إلى الملفات الشخصية والرسائل ورموز الجلسة. نظرًا لاستضافة التطبيقات على بنية جوجل التحتية، فقد تمكنت من تجاوز مرشحات الأمان الأساسية. تم تنفيذ سرقة بيانات الاعتماد في الخلفية، بينما كان الضحية يعتقد أنه يتفاعل مع صفحة رسمية.
حتى مع التطبيقات بدون كود، لم يسلموا من التصيد الاحتيالي 😅
اتضح أنه حتى باستخدام أدوات إنشاء التطبيقات دون معرفة البرمجة، لا يمكنك النجاة من المحتالين. الآن يستخدم المحتالون أيضًا تقنية بدون كود ليبدوا أكثر حداثة واحترافية. وقع 30,000 شخص في الفخ لأن التطبيق المزيف كان يحمل ختم جوجل، وكأن ذلك ضمان للنقاء. تطور التصيد الاحتيالي: لم يعد مجرد أمير نيجيري، بل أصبح تطبيقًا يعد بتسهيل حياتك بينما يفرغ ملفك الشخصي.