Una campagna di phishing ha compromesso 30.000 account Facebook sfruttando Google AppSheet. Gli aggressori hanno creato applicazioni senza codice che simulavano di essere legittime, ingannando gli utenti per ottenere permessi pericolosi. Tramite email e notifiche false di Facebook, le vittime accedevano a link che rubavano credenziali e prendevano il controllo dei loro profili, esponendo dati sensibili.
L'abuso delle piattaforme no-code come vettore di attacco 🛡️
Google AppSheet consente di creare app senza programmare, ma il suo uso legittimo è stato distorto. Gli aggressori hanno progettato interfacce che imitavano Facebook, richiedendo permessi OAuth per accedere a profili, messaggi e token di sessione. Essendo app ospitate nell'infrastruttura di Google, eludevano i filtri di sicurezza di base. Il furto di credenziali veniva eseguito in background, mentre la vittima credeva di interagire con una pagina ufficiale.
Non ci si salva dal phishing nemmeno regalando app senza codice 😅
Alla fine, nemmeno con gli strumenti per creare app senza saper programmare ci si libera dai truffatori. Ora i malintenzionati usano anche il no-code per sembrare più moderni e professionali. 30.000 persone sono cadute nella trappola perché la falsa app aveva il marchio di Google, come se fosse una garanzia di purezza. Il phishing si è evoluto: non è più solo un principe nigeriano, ora è un'app che promette di semplificarti la vita mentre ti svuota il profilo.