30,000件のFacebookアカウントを侵害したフィッシングキャンペーンが、Google AppSheetを悪用して行われました。攻撃者は、正規のアプリを装ったノーコードアプリケーションを作成し、ユーザーを騙して危険な権限を付与させました。Facebookからの偽のメールや通知を通じて、被害者はリンクをクリックし、認証情報を盗まれ、プロフィールを乗っ取られ、機密データが流出しました。
ノーコードプラットフォームの悪用が攻撃ベクトルに 🛡️
Google AppSheetはプログラミング不要でアプリを作成できますが、その正当な利用法が歪められました。攻撃者はFacebookを模したインターフェースを設計し、プロフィール、メッセージ、セッショントークンにアクセスするためのOAuth権限を要求しました。Googleのインフラにホストされたアプリであるため、基本的なセキュリティフィルターをすり抜けました。被害者が公式ページとやり取りしていると信じている間に、認証情報の窃取がバックグラウンドで実行されました。
ノーコードアプリを無料で配っても、フィッシングからは逃れられない 😅
どうやら、コードを知らなくてもアプリを作成できるツールを使っても、詐欺師から逃れることはできないようです。今では詐欺師も、より現代的でプロフェッショナルに見せるためにノーコードを利用しています。30,000人もの人々が、偽のアプリにGoogleの印があったため、それが純粋さの保証であるかのように信じて罠にかかりました。フィッシングは進化しました。もはやナイジェリアの王子様だけではなく、今では生活を楽にしてくれると約束しながら、あなたのプロフィールを空にするアプリなのです。