Фишинговая кампания скомпрометировала 30 000 аккаунтов Facebook, используя Google AppSheet. Злоумышленники создали приложения без кода, которые выдавали себя за легитимные, обманом заставляя пользователей предоставлять опасные разрешения. С помощью поддельных писем и уведомлений Facebook жертвы переходили по ссылкам, которые похищали учетные данные и получали контроль над их профилями, подвергая риску конфиденциальные данные.
Злоупотребление no-code платформами как вектором атаки 🛡️
Google AppSheet позволяет создавать приложения без программирования, но его легитимное использование было искажено. Злоумышленники разработали интерфейсы, имитирующие Facebook, запрашивая разрешения OAuth для доступа к профилям, сообщениям и токенам сессий. Будучи приложениями, размещенными на инфраструктуре Google, они обходили базовые фильтры безопасности. Кража учетных данных выполнялась в фоновом режиме, пока жертва считала, что взаимодействует с официальной страницей.
Даже раздавая приложения без кода, от фишинга не спастись 😅
Оказывается, даже с инструментами для создания приложений без знания кода не уберечься от мошенников. Теперь аферисты тоже используют no-code, чтобы казаться более современными и профессиональными. 30 000 человек попались в ловушку, потому что поддельное приложение имело печать Google, как будто это гарантия чистоты. Фишинг эволюционировал: теперь это не просто нигерийский принц, а приложение, которое обещает облегчить жизнь, пока опустошает ваш профиль.