Uma campanha de phishing comprometeu 30.000 contas do Facebook ao explorar o Google AppSheet. Os atacantes criaram aplicativos sem código que simulavam ser legítimos, enganando usuários para que concedessem permissões perigosas. Através de e-mails e notificações falsas do Facebook, as vítimas acessavam links que roubavam credenciais e assumiam o controle de seus perfis, expondo dados sensíveis.
O abuso de plataformas no-code como vetor de ataque 🛡️
O Google AppSheet permite criar apps sem programar, mas seu uso legítimo foi distorcido. Os atacantes projetaram interfaces que imitavam o Facebook, solicitando permissões OAuth para acessar perfis, mensagens e tokens de sessão. Por serem apps hospedadas na infraestrutura do Google, elas driblavam filtros de segurança básicos. O roubo de credenciais era executado em segundo plano, enquanto a vítima acreditava interagir com uma página oficial.
Nem dando apps sem código de graça se salva do phishing 😅
Pois é, nem com ferramentas para criar apps sem saber código você escapa dos golpistas. Agora os fraudadores também usam no-code para parecer mais modernos e profissionais. 30.000 pessoas caíram na armadilha porque o app falso tinha o selo do Google, como se isso fosse garantia de pureza. O phishing evoluiu: não é mais só um príncipe nigeriano, agora é um app que promete facilitar sua vida enquanto esvazia seu perfil.