Eine Phishing-Kampagne hat 30.000 Facebook-Konten kompromittiert, indem sie Google AppSheet ausnutzte. Die Angreifer erstellten codefreie Anwendungen, die legitim aussahen, und täuschten Nutzer, sodass diese gefährliche Berechtigungen erteilten. Durch gefälschte E-Mails und Benachrichtigungen von Facebook gelangten die Opfer auf Links, die Anmeldedaten stahlen und die Kontrolle über ihre Profile übernahmen, wodurch sensible Daten offengelegt wurden.
Der Missbrauch von No-Code-Plattformen als Angriffsvektor 🛡️
Google AppSheet ermöglicht die Erstellung von Apps ohne Programmierung, aber seine legitime Nutzung wurde verfälscht. Die Angreifer entwarfen Oberflächen, die Facebook nachahmten, und forderten OAuth-Berechtigungen an, um auf Profile, Nachrichten und Sitzungstoken zuzugreifen. Da die Apps in der Infrastruktur von Google gehostet wurden, umgingen sie grundlegende Sicherheitsfilter. Der Diebstahl von Anmeldedaten erfolgte im Hintergrund, während das Opfer glaubte, mit einer offiziellen Seite zu interagieren.
Selbst mit verschenkten No-Code-Apps ist man nicht vor Phishing sicher 😅
Es stellt sich heraus, dass man sich selbst mit Tools zum Erstellen von Apps ohne Programmierkenntnisse nicht vor Betrügern retten kann. Jetzt nutzen auch Gauner No-Code, um moderner und professioneller zu wirken. 30.000 Menschen sind in die Falle getappt, weil die gefälschte App das Gütesiegel von Google trug, als ob das eine Garantie für Reinheit wäre. Phishing hat sich weiterentwickelt: Es ist nicht mehr nur ein nigerianischer Prinz, sondern eine App, die verspricht, das Leben zu erleichtern, während sie das Profil leert.