एक फ़िशिंग अभियान ने Google AppSheet का शोषण करके 30,000 Facebook खातों से समझौता किया है। हमलावरों ने बिना कोड के ऐप बनाए जो वैध दिखते थे, उपयोगकर्ताओं को खतरनाक अनुमतियाँ देने के लिए धोखा दिया। नकली Facebook ईमेल और सूचनाओं के माध्यम से, पीड़ितों ने लिंक पर क्लिक किया जिससे क्रेडेंशियल चोरी हो गए और उनके प्रोफाइल पर नियंत्रण हो गया, जिससे संवेदनशील डेटा उजागर हो गया।
हमले के वेक्टर के रूप में नो-कोड प्लेटफार्मों का दुरुपयोग 🛡️
Google AppSheet बिना प्रोग्रामिंग के ऐप बनाने की अनुमति देता है, लेकिन इसके वैध उपयोग को विकृत कर दिया गया। हमलावरों ने ऐसे इंटरफेस डिज़ाइन किए जो Facebook की नकल करते थे, प्रोफाइल, संदेशों और सत्र टोकन तक पहुँचने के लिए OAuth अनुमतियों का अनुरोध करते थे। Google के बुनियादी ढांचे पर होस्ट किए जाने के कारण, वे बुनियादी सुरक्षा फिल्टर को दरकिनार कर देते थे। क्रेडेंशियल की चोरी पृष्ठभूमि में होती थी, जबकि पीड़ित को लगता था कि वह एक आधिकारिक पेज के साथ बातचीत कर रहा है।
अब बिना कोड के ऐप देने पर भी फ़िशिंग से नहीं बचा जा सकता 😅
पता चला कि बिना कोड जाने ऐप बनाने के टूल भी आपको स्कैमर्स से नहीं बचा सकते। अब धोखेबाज़ भी अधिक आधुनिक और पेशेवर दिखने के लिए नो-कोड का उपयोग कर रहे हैं। 30,000 लोग इस जाल में फंस गए क्योंकि नकली ऐप पर Google की मुहर थी, जैसे कि यह शुद्धता की गारंटी हो। फ़िशिंग विकसित हो गया है: अब यह सिर्फ एक नाइजीरियाई राजकुमार नहीं है, बल्कि एक ऐप है जो आपके जीवन को आसान बनाने का वादा करता है जबकि आपका प्रोफाइल खाली कर देता है।