حملة تصيد إلكتروني اخترقت 30,000 حساب فيسبوك من خلال استغلال Google AppSheet. أنشأ المهاجمون تطبيقات بدون كود تحاكي التطبيقات الشرعية، مخادعين المستخدمين لمنح أذونات خطيرة. عبر رسائل بريد إلكتروني وإشعارات مزيفة من فيسبوك، كان الضحايا يصلون إلى روابط تسرق بيانات الاعتماد وتستولي على حساباتهم، مما يعرض البيانات الحساسة للخطر.
إساءة استخدام المنصات غير البرمجية كمتجه للهجوم 🛡️
يتيح Google AppSheet إنشاء تطبيقات دون برمجة، لكن استخدامه الشرعي تم تحريفه. صمم المهاجمون واجهات تحاكي فيسبوك، طالبين أذونات OAuth للوصول إلى الحسابات والرسائل ورموز الجلسة. وبما أن التطبيقات مستضافة على بنية جوجل التحتية، فقد تجاوزت مرشحات الأمان الأساسية. تم تنفيذ سرقة بيانات الاعتماد في الخلفية، بينما اعتقد الضحية أنه يتفاعل مع صفحة رسمية.
حتى التطبيقات بدون كود لم تسلم من التصيد الإلكتروني 😅
اتضح أنه حتى مع أدوات إنشاء التطبيقات دون معرفة البرمجة، لا يمكنك النجاة من المحتالين. الآن يستخدم المحتالون أيضًا تقنية "بدون كود" ليبدو أكثر حداثة واحترافية. وقع 30,000 شخص في الفخ لأن التطبيق المزيف كان يحمل ختم جوجل، وكأن ذلك ضمان للنقاء. تطور التصيد الإلكتروني: لم يعد مجرد أمير نيجيري، بل أصبح تطبيقًا يعد بتسهيل حياتك بينما يفرغ حسابك.