一场网络钓鱼活动利用谷歌AppSheet入侵了3万个Facebook账户。攻击者创建了看似合法的无代码应用程序,诱骗用户授予危险权限。通过虚假的Facebook邮件和通知,受害者点击链接后,凭证被盗,账户被控制,敏感数据随之泄露。
无代码平台被滥用为攻击载体 🛡️
谷歌AppSheet允许无需编程即可创建应用,但其合法用途被扭曲。攻击者设计了模仿Facebook的界面,请求OAuth权限以访问个人资料、消息和会话令牌。由于这些应用托管在谷歌的基础设施上,它们绕过了基本的安全过滤器。凭证窃取在后台进行,而受害者以为自己正在与官方页面交互。
连免费的无代码应用也难逃钓鱼魔爪 😅
结果发现,即使使用无需编程即可创建应用的工具,也无法避免被骗子盯上。如今,诈骗者也利用无代码技术来显得更现代、更专业。3万人因此上当,因为虚假应用带有谷歌的标识,仿佛这就是纯洁的保证。网络钓鱼已经进化:不再只是尼日利亚王子,而是一个承诺让生活更轻松、同时掏空你个人资料的应用。