Internetom sa valí masívna vlna rafinovaných phishingových útokov, pred ktorými kapitulovali aj pokročilé algoritmy od Google. Výsledok? Útočníci kompletne prevzali kontrolu nad približne 30 000 účtami na Facebooku. Terčom neboli bežní používatelia, ale firemné účty, profily správcov (manažérov stránok) a účty s reálnou finančnou hodnotou, kde sú prepojené platobné karty na reklamu.
Dokonalé maskovanie: Ako prekabátili filtre?
Bežný spam spoznáš ľahko – podivná adresa, zlá gramatika a filter ho rovno hodí do koša. Tentoraz však útočníci prišli s geniálnym trikom. Zneužili Google AppSheet (legálnu platformu na tvorbu aplikácií bez kódu).
Vďaka tomu podvodné e-maily odchádzali z oficiálnych adries ako noreply@appsheet.com alebo appsheet.bounces.google.com.
- Prečo to prešlo? Tieto adresy majú antispamové filtre na celom svete na takzvanom whitelistu (zozname dôveryhodných adries).
- Falošný odkaz: Útočníci navyše zneužili priamo Google API. Odkaz v e-maile preto vyzeral bezpečne, no po kliknutí obeť presmeroval na dokonale skopírovanú prihlasovaciu stránku Facebooku.
Psychologický nátlak: Scenár útoku
Podvodné e-maily útočili na emócie a hrali na čas. Najčastejšie išlo o varovania typu:
- „Váš účet porušil autorské práva a bude do 24 hodín zmazaný.“
- „Upozornenie na expiráciu účtu / kontrolu zabezpečenia.“
Vystresovaný správca v panike klikol na odkaz, kde od neho falošný web pýtal nielen login a heslo, ale aj jednorazové 2FA kódy (dvojfaktorové overenie), telefónne číslo či dátum narodenia. Keď ich obete zadali, útočníci mali v priebehu sekúnd plný prístup k účtu a pôvodného majiteľa natvrdo odrezali.
Kto je na vine? Google v tomto prípade nespravil chybu – poskytol len nástroj, ktorý niekto zneužil. Finálne zlyhanie je opäť na strane človeka, ktorý podľahol sociálnemu inžinierstvu a tlaku.
5 zlatých pravidiel, ako Nedostať „Únos Účtu“
Ak nechceš prísť o svoju stránku alebo biznis profil, drž sa týchto zásad:
- Stop časovému tlaku: Ak ti e-mail tvrdí, že musíš niečo urobiť „okamžite, inak ti zmažú účet“, na 99 % je to podvod. Oficiálna podpora málokedy dáva ultimáta v hodinách.
- Nikdy neklikaj na odkazy v mailoch: Ak máš podozrenie, že s tvojím Facebookom niečo je, neklikaj na link z e-mailu. Otvor si prehliadač, ručne naťukaj
facebook.coma skontroluj upozornenia priamo tam. - Sleduj červené vlajky (Red Flags): Ak od teba nejaký formulár žiada naraz heslo, 2FA kód, rodné číslo aj fotku občianskeho, okamžite odíď. Legitimný proces overenia takto nevyzerá.
- Prejdi na moderné zabezpečenie: Klasické SMS kódy už nestačia. Používaj autentifikačné aplikácie (Google Authenticator) alebo moderné Passkeys (prihlasovanie tvárou/otlačkom).
- Never nikomu (ani kamošom): Ak ti príde podivná správa od kolegu alebo kamaráta s prosbou o kód alebo kliknutie na link, over si to u neho cez iný kanál (napr. mu zavolaj). Jeho účet už totiž môže patriť hackerom.
Zdroj: Guardio
