هک 30 هزار حساب فیس‌بوک در کمپین فیشینگ AccountDumpling با سوءاستفاده از Google AppSheet

کمپین فیشینگ AccountDumpling از پیشرفته‌ترین عملیات‌های فیشینگ سال‌های اخیر محسوب می‌شود؛ حمله‌ای که با سوءاستفاده از سرویس معتبر Google AppSheet حدود 30 هزار حساب فیس‌بوک را هدف قرار داده است. این کمپین که به عوامل تهدید سایبری مرتبط با ویتنام نسبت داده می‌شود، از زیرساخت‌های قانونی برای دور زدن مکانیزم‌های امنیتی استفاده کرده و در نهایت اطلاعات قربانیان را برای فروش در بازارهای زیرزمینی جمع‌آوری می‌کند. تحلیل‌ها نشان می‌دهند که کمپین فیشینگ AccountDumpling تنها یک حمله ساده فیشینگ نیست، بلکه یک اکوسیستم مجرمانه کامل با پنل‌های مدیریتی و کانال‌های انتقال داده است که به‌طور مستمر تکامل و بهبود می‌یابد.

نحوه عملکرد کمپین فیشینگ AccountDumpling

تحقیقات شرکت امنیتی Guardio نشان می‌دهد که مهاجمان ابتدا ایمیل‌هایی با ظاهری رسمی و از طرف پشتیبانی متا (Meta Support) برای صاحبان حساب‌های تجاری فیسبوک (Facebook Business) ارسال می‌کنند. در این ایمیل‌ها به قربانیان هشدار داده می‌شود که حساب کاربری آن‌ها در معرض حذف دائمی قرار دارد و برای جلوگیری از این امر باید درخواست تجدیدنظر ارسال کنند.

نکته مهم این است که ایمیل‌ها از آدرس معتبر  noreply@appsheet.comارسال می‌شوند؛ موضوعی که باعث می‌شود بسیاری از فیلترهای اسپم قادر به شناسایی آن نباشند. این تکنیک به مهاجمان کمک می‌کند تا مرحله اولیه مهندسی اجتماعی را با موفقیت پشت سر بگذارند.

کاربران پس از کلیک روی لینک موجود در ایمیل، به صفحات جعلی هدایت می‌شوند که برای سرقت اطلاعات ورود طراحی شده‌اند.

ساختار چندلایه کمپین فیشینگ AccountDumpling

بر اساس گزارش‌های Guardio، این کمپین فقط یک کیت فیشینگ ساده نیست؛ بلکه از مجموعه‌ای از زیرساخت‌ها و سناریوهای مختلف تشکیل شده که همگی برای فریب کاربران طراحی شده‌اند. در این کمپین، چهار روش اصلی شناسایی شده است:

1. صفحات جعلی مرکز پشتیبانی فیسبوک (Facebook Help Center): این صفحات که روی Netlify میزبانی می‌شوند، به‌منظور جمع‌آوری اطلاعات حساس مانند تاریخ تولد، شماره تلفن و تصاویر کارت شناسایی طراحی شده‌اند. تمام این اطلاعات پس از جمع‌آوری به کانال‌های تلگرام تحت کنترل مهاجمان ارسال می‌شوند.
2. تله تأیید Blue Badge: در این سناریو، قربانیان با وعده بررسی نشان تأیید (Blue Badge) به صفحات جعلی هدایت می‌شوند که روی Vercel میزبانی شده‌اند. این صفحات ابتدا یک CAPTCHA جعلی نمایش می‌دهند و سپس کاربران را به صفحه فیشینگ هدایت می‌کنند. در این مرحله، اطلاعات تماس، داده‌های کسب‌وکار، نام کاربری و رمز عبور و کدهای 2FA سرقت می‌شود.
3. فایل‌های PDF جعلی در Google Drive: در این روش، مهاجمان از فایل‌های PDF میزبانی‌شده در Google Drive استفاده می‌کنند که به‌عنوان راهنمای تأیید حساب معرفی می‌شوند. این فایل‌ها کاربران را به صفحات مخرب هدایت می‌کنند که اطلاعات رمز عبور، کدهای 2FA، تصاویر کارت شناسایی و اسکرین‌شات مرورگر را جمع‌آوری می‌کنند.
4. پیشنهادهای شغلی جعلی: مهاجمان با جعل هویت برندهای شناخته‌شده مانند Meta، WhatsApp، Adobe، Pinterest، Apple و Coca-Cola به کاربران پیشنهاد شغلی ارسال کرده و سپس آن‌ها را به سایت‌های تحت کنترل خود هدایت می‌کنند.

ابعاد واقعی حمله و تعداد قربانیان

تحلیل داده‌های به‌دست‌آمده نشان می‌دهد کانال‌های تلگرامی مرتبط با این کمپین، حاوی اطلاعات حدود 30 هزار قربانی هستند. بخش عمده این کاربران از کشورهایی مانند ایالات متحده، ایتالیا، کانادا، فیلیپین، هند، اسپانیا، استرالیا، بریتانیا، برزیل و مکزیک شناسایی شده‌اند.

در بسیاری از این موارد، مهاجمان پس از سرقت اطلاعات ورود، موفق به تصاحب کامل حساب کاربری (Account Takeover) شده‌اند؛ به این معنا که کنترل حساب را به‌طور کامل در اختیار گرفته و دسترسی کاربر اصلی را قطع کرده‌اند.

ردپای مهاجمان ویتنامی در کمپین فیشینگ AccountDumpling

تحلیل متادیتای PDFها نشان می‌دهد که نام «PHẠM TÀI TÂN» به‌عنوان سازنده این فایل‌ها ثبت شده است. علاوه بر این، تحقیقات OSINT به وب‌سایتی با دامنه phamtaitan[.]vn رسیده که سرویس دیجیتال مارکتینگ ارائه می‌دهد. در یکی از پست‌های منتشرشده در شبکه X در سال 2023، این وب‌سایت اعلام کرده بود که در زمینه ارائه منابع بازاریابی دیجیتال و مشاوره استراتژی‌های بازاریابی فعالیت می‌کند.

اقتصاد زیرزمینی حساب‌های سرقتی فیس‌بوک

کمپین فیشینگ AccountDumpling بخشی از یک بازار بزرگ‌تر برای خرید و فروش حساب‌های فیس‌بوک است. در این بازار زیرزمینی، موارد زیر معامله می‌شوند:

• دسترسی به حساب‌های فیس‌بوک
• هویت کسب‌وکارها
• اعتبار تبلیغاتی (Ad Reputation)
• سرویس بازیابی حساب

این موضوع نشان می‌دهد که مهاجمان تنها به سرقت حساب‌ها بسنده نمی‌کنند؛ بلکه یک مدل تجاری کامل مبتنی بر فروش دارایی‌های دیجیتال سرقتی ایجاد کرده‌اند.

نقش پلتفرم‌های معتبر در افزایش اثربخشی حمله

یکی از نکات جالب در کمپین فیشینگ AccountDumpling استفاده گسترده از سرویس‌های معتبر مانند Google AppSheet، Google Drive، Netlify، Vercel و Canva برای میزبانی و توزیع حملات است. این کار باعث می‌شود که شناسایی حمله برای سامانه‌های امنیتی دشوارتر شده و اعتماد کاربران نیز راحت‌تر جلب شود.

جمع‌بندی

کمپین فیشینگ AccountDumpling نمونه‌ای واضح از تکامل حملات مهندسی اجتماعی در دنیای سایبری است. مهاجمان با ترکیب زیرساخت‌های معتبر، سناریوهای فریب متنوع و بازار فروش حساب‌های سرقتی توانسته‌اند یک عملیات سازمان‌یافته و سودآور ایجاد کنند. این حمله نشان می‌دهد که پلتفرم‌های قانونی می‌توانند به‌راحتی به ابزار حملات سایبری تبدیل شوند و کاربران، به‌ویژه مدیران حساب‌های تجاری در فیس‌بوک، باید نسبت به ایمیل‌های مشکوک و درخواست‌های بررسی حساب هوشیار باشند.

منابع