Фишинг через Google AppSheet: как злоумышленники использовали легитимный сервис для кражи 30 000 аккаунтов Facebook*

В мире информационной безопасности редкость - это атака, при которой вредоносное письмо проходит все проверки подлинности. Обычно фишинг опирается на подделку отправителя или сомнительную инфраструктуру. Но недавняя операция, связанная с Вьетнамом, перевернула это правило с ног на голову. Злоумышленники использовали Google AppSheet - легитимный сервис для создания приложений без кода - как ретранслятор для фишинговых писем. Эти сообщения были полностью аутентифицированы и никогда не блокировались почтовыми системами. Жертвами стали владельцы бизнес-аккаунтов Facebook*, а общее число пострадавших превысило 30 000 человек.

Описание

Суть атаки проста, но изящна. AppSheet позволяет отправлять уведомления от имени своей платформы. Письма приходили с адреса noreply@appsheet[.]com и доставлялись через официальную инфраструктуру Google. SPF, DKIM и DMARC - все проверки проходили идеально. Ведь какой почтовый сервер заблокирует письмо, отправленное собственной системой Google? Злоумышленникам не нужно было ни взламывать чужие аккаунты, ни подделывать заголовки. Они просто заставили легитимный сервис делать то, для чего он создан: рассылать уведомления. Только вот в роли уведомлений выступали панические сообщения о блокировке страницы Facebook*, нарушении авторских прав или возможности получить синюю галочку.

Специалисты компании Guardio Labs в своём отчёте описали четыре ключевых кластера атак, различавшихся по сценарию, но объединённых общей инфраструктурой и конечной целью - захватом ценных учётных записей.

Первый кластер (кластер A) был самым прямолинейным. Жертвы получали письма с угрозами о нарушении политики DMCA или окончательной блокировке страницы. Ссылка вела на поддельные страницы, размещённые на платформе Netlify. Эти страницы выглядели как настоящий центр помощи Facebook*. Они собирали не только логин и пароль, но и дату рождения, номер телефона, а также фотографии удостоверений личности. По сути, это была не кража учётных данных, а полный захват цифровой личности. Каждому пользователю назначался уникальный поддомен Netlify, что делало блокировку URL-адресов почти бесполезной - к моменту, когда ссылка попадала в чёрный список, жертва уже была скомпрометирована.

Второй кластер (кластер B) использовал противоположную тактику - приманку вместо страха. Письма обещали проверку на получение синей галочки, рекламные бонусы или привилегии. Страницы размещались на Vercel и выглядели как официальные порталы Meta. Для убедительности они показывали фальшивую капчу и таймер обратного отсчёта. Техническое оснащение было самым сложным: отправители использовали невидимые символы Unicode для искажения имён, а текст разбивался посередине слова, чтобы затруднить обнаружение NLP-алгоритмами. В одном из образцов в прехедере письма обнаружились математические фрактурные символы - те же самые, что позже появились в имени Telegram-бота, управляющего сбором данных.

Третий кластер (кластер C) оказался самым продвинутым. Вместо прямой ссылки на фишинговую страницу жертву вели на PDF-файл, размещённый на Google Drive. Внутри документа, созданного в сервисе Canva, находилось только одно изображение - фальшивое уведомление Meta*. Но за ним скрывалась интерактивная ссылка на панель управления, работающую через WebSockets. Оператор мог в реальном времени видеть, что вводит жертва, и подстраивать ответы. Если пароль оказывался неверным, система запрашивала его повторно. Если нужен был второй код двухфакторной аутентификации - панель загружала соответствующий экран. Человек в цикле атаки мог перехватывать не только пароли, но и скриншоты экрана.

Четвёртый кластер (кластер D) был самым простым, но не менее опасным. Письма имитировали рекрутеров из WhatsApp, Meta*, Adobe, Apple и других крупных компаний. Они приглашали на собеседование, а затем просили перейти в личный чат или позвонить. Детектировать такое почти невозможно - письмо не содержит вредоносных ссылок, весь обман происходит за пределами почтового ящика.

Объединяло все кластеры одно: Telegram. Собранные данные мгновенно уходили в каналы, управляемые ботами. Аналитики идентифицировали четыре таких бота. Один из них назывался @haixuancau_bot и отображал имя с вьетнамскими иероглифами. Другой - @globalglobalglobalbot_bot - имел псевдоним SCAN_VIPPRO, написанный теми же фрактурными символами, что и в письмах. Администраторами каналов значились пользователи с никами Big Bosss и @mansinblack.

Общий объём похищенных записей оценивается примерно в 30 000, хотя на момент расследования продолжали поступать новые данные. Большинство жертв (почти 69%) находились в США, за ними следовали Италия, Канада, Филиппины, Индия, Испания и другие страны. Последствия оказались серьёзными: многие пользователи сообщали о блокировке аккаунтов, подозрительной активности и финансовых потерях, вплоть до несанкционированного использования кредитных карт.

Главный прорыв в атрибуции произошёл благодаря ошибке злоумышленников. В метаданных PDF-файла, созданного в Canva, обнаружилось поле "Автор" с настоящим вьетнамским именем: PHẠM TÀI TÂN. Исследователи быстро нашли соответствующий профиль в Facebook*, сайт phamtaitan[.]vn и бизнес-страницу, предлагающую услуги по "разблокировке" и "защите" аккаунтов. Вьетнамский язык также встречался в комментариях кода, а рабочее время активности совпадало с часовым поясом Вьетнама. Хотя прямая связь между этим человеком и всей операцией остаётся вероятностной, совокупность улик указывает на то, что за атакой стоит вьетнамская группа.

Эта история демонстрирует новую реальность: легитимные облачные сервисы становятся идеальными ретрансляторами для атак. Компрометация аккаунта больше не является конечной целью. Украденные страницы превращаются в товар, который продаётся на теневых рынках. Доверие перестало быть сигналом безопасности - оно стало инвентарём.

* Компания Meta и её продукты (включая Instagram, Facebook, Threads) признаны экстремистскими, их деятельность запрещена на территории РФ.