Eine Phishing-Kampagne hat 30.000 Facebook-Konten kompromittiert, indem sie Google AppSheet ausnutzte. Die Angreifer erstellten codefreie Anwendungen, die sich als legitim ausgaben, und täuschten Benutzer, um gefährliche Berechtigungen zu erteilen. Durch gefälschte E-Mails und Benachrichtigungen von Facebook folgten die Opfer Links, die Anmeldedaten stahlen und die Kontrolle über ihre Profile übernahmen, wodurch sensible Daten offengelegt wurden.
Der Missbrauch von No-Code-Plattformen als Angriffsvektor 🛡️
Google AppSheet ermöglicht die Erstellung von Apps ohne Programmierung, aber seine legitime Nutzung wurde verfälscht. Die Angreifer entwarfen Oberflächen, die Facebook nachahmten und OAuth-Berechtigungen für den Zugriff auf Profile, Nachrichten und Sitzungstoken anforderten. Da die Apps in der Infrastruktur von Google gehostet wurden, umgingen sie grundlegende Sicherheitsfilter. Der Diebstahl von Anmeldedaten erfolgte im Hintergrund, während das Opfer glaubte, mit einer offiziellen Seite zu interagieren.
Selbst mit verschenkten No-Code-Apps ist man nicht vor Phishing sicher 😅
Es stellt sich heraus, dass man sich selbst mit Werkzeugen zum Erstellen von Apps ohne Programmierkenntnisse nicht vor Betrügern retten kann. Jetzt nutzen auch Gauner No-Code, um moderner und professioneller zu wirken. 30.000 Menschen tappten in die Falle, weil die gefälschte App das Gütesiegel von Google trug, als ob das eine Garantie für Reinheit wäre. Phishing hat sich weiterentwickelt: Es ist nicht mehr nur ein nigerianischer Prinz, jetzt ist es eine App, die verspricht, das Leben zu erleichtern, während sie das Profil leert.