피싱 캠페인이 Google AppSheet를 악용하여 30,000개의 Facebook 계정을 해킹했습니다. 공격자들은 합법적인 앱처럼 위장한 노코드 애플리케이션을 만들어 사용자들을 속여 위험한 권한을 부여하도록 했습니다. 가짜 Facebook 이메일과 알림을 통해 피해자들은 링크를 클릭하여 자격 증명을 도난당하고 프로필을 장악당해 민감한 데이터가 노출되었습니다.
공격 벡터로서의 노코드 플랫폼 악용 🛡️
Google AppSheet는 코딩 없이 앱을 만들 수 있지만, 그 합법적인 사용이 왜곡되었습니다. 공격자들은 Facebook을 모방한 인터페이스를 설계하여 프로필, 메시지 및 세션 토큰에 접근하기 위한 OAuth 권한을 요청했습니다. Google 인프라에 호스팅된 앱이기 때문에 기본 보안 필터를 우회했습니다. 자격 증명 도난은 백그라운드에서 실행되었고, 피해자는 공식 페이지와 상호작용하고 있다고 믿었습니다.
노코드 앱을 공짜로 줘도 피싱을 피할 수는 없네 😅
코딩을 몰라도 앱을 만들 수 있는 도구를 써도 사기꾼들을 피할 수 없다는 게 밝혀졌습니다. 이제 사기꾼들도 더 현대적이고 전문적으로 보이기 위해 노코드를 사용합니다. 30,000명의 사람들이 가짜 앱에 Google 도장이 찍혀 있어서 마치 그것이 순수함을 보장하는 것처럼 속아 넘어갔습니다. 피싱은 진화했습니다: 더 이상 나이지리아 왕자만 있는 것이 아니라, 당신의 삶을 편하게 해주겠다고 약속하면서 프로필을 텅 비우는 앱이 있습니다.