一场网络钓鱼活动利用谷歌AppSheet入侵了3万个Facebook账户。攻击者创建了看似合法的无代码应用程序,诱骗用户授予危险权限。通过虚假的Facebook邮件和通知,受害者点击链接后,凭证被盗,账户被控制,敏感数据随之泄露。
滥用无代码平台作为攻击向量 🛡️
谷歌AppSheet允许无需编程即可创建应用,但其合法用途被扭曲。攻击者设计了模仿Facebook的界面,请求OAuth权限以访问个人资料、消息和会话令牌。由于这些应用托管在谷歌的基础设施上,它们绕过了基本的安全过滤器。凭证窃取在后台进行,而受害者以为自己正在与官方页面交互。
连送无代码应用都逃不过钓鱼攻击 😅
结果发现,即使使用无需编程就能创建应用的工具,也躲不开诈骗者。现在骗子们也利用无代码技术来显得更现代、更专业。3万人因此上当,因为虚假应用带有谷歌的印记,仿佛这就是纯净的保证。网络钓鱼已经进化:不再只是尼日利亚王子,而是一个承诺让你生活更轻松,同时掏空你个人资料的应用。