I ricercatori di Guardio, azienda specializzata in sicurezza e privacy, hanno scoperto una campagna malevola soprannominata AccountDumpling. Nello specifico si tratta di un’ondata di email phishing “inviata da Google“, e quindi all’apparenza attendibile, che ha rubato e compromesso oltre 30 mila account Facebook. Un episodio che ha lasciato a bocca aperta tutti e non solo le vittime.
Gli esperti hanno dichiarato: “30.000 account Facebook sono stati compromessi da email di phishing inviate da Google stesso. Autenticate, firmate e mai bloccate. Chiamiamo questa operazione AccountDumpling: un’attività legata al Vietnam che trasforma Google AppSheet in un punto di inoltro per il phishing, per poi rivendere gli account rubati tramite un sito gestito dagli stessi criminali“.
Ciò che sorprende ancora di più è quello che i ricercatori hanno trovato: “Seguendo quel filo conduttore, siamo arrivati a cloni di Facebook ospitati su Netlify, trappole a premi su Vercel, PDF su Google Drive e tecniche di ingegneria sociale in stile reclutamento, il tutto collegato alla stessa rete autenticata da Google e alimentato dalla stessa infrastruttura di bot di Telegram“.
Abbiamo mappato circa 30.000 vittime e ricondotto l’operazione a un nome vietnamita incorporato in un PDF generato con Canva che gli aggressori si erano dimenticati di ripulire. Abbiamo anche recuperato dati sufficienti per contattare direttamente molte vittime, informandole della loro compromissione e aiutandole ad agire prima che venissero causati ulteriori danni.
Non si tratta di un semplice kit di phishing. Quella delle email Google che ha rubato migliaia di account Facebook è stata un’operazione con pannelli operativi in tempo reale, sofisticati sistemi di elusione, in continua evoluzione e con un circolo vizioso criminale-commerciale alimentato silenziosamente dagli stessi account che deruba.
Elementi di compromissione delle email Google che hanno rubato migliaia di account Facebook
Vediamo quindi gli elementi di compromissioni delle email inviate da Google che hanno rubato migliaia di account Facebook nella campagna phishing AccountDumpling,
- Netlify
- https://nammoi2bnewyer.netlify.app
- https://incomparable-otter-61efbb.netlify.app
- https://magical-malabi-ec587a.netlify.app
- https://kaleidoscopic-youtiao-5e7b9e.netlify.app
- https://neon-zabaione-4c8494.netlify.app
- https://melodic-lebkuchen-9daf83.netlify.app
- https://magenta-granita-bdfa90.netlify.app
- https://tranquil-basbousa-0d24ed.netlify.app
- https://loquacious-starburst-d9a91e.netlify.app
- https://adorable-kheer-028a6f.netlify.app
- https://melodic-smakager-a2ef78.netlify.app
- https://tiny-kelpie-b9e835.netlify.app
- https://classy-treacle-731cfd.netlify.app
- https://courageous-seahorse-e3da15.netlify.app
- https://heroic-tarsier-be3643.netlify.app
- https://gregarious-flan-5135c9.netlify.app
- https://quiet-liger-f19f43.netlify.app
- https://jazzy-pixie-6e536e.netlify.app
- https://soft-crumble-b64e31.netlify.app
- https://roaring-crepe-63dc91.netlify.app
- https://gorgeous-dodol-df7959.netlify.app
- https://effervescent-horse-9f123e.netlify.app
- https://glistening-bublanina-62beaa.netlify.app
- https://delicate-sunshine-eb1f86.netlify.app
- https://starlit-bienenstitch-3bb17d.netlify.app
- Vercel
- https://h22a6ev34i-064ddfc747.vercel.app
- https://3jgq759wnd-bc592a5ce4.vercel.app
- https://4wxaghebok-10b01c9f86.vercel.app
- https://dhx33sb5so-564d88b6cd.vercel.app
- https://id09ewyodo-b4f17d4da8.vercel.app
- https://vxfg8h5f41-ffa279e45a.vercel.app
- https://9v21kpz0u8-959533e567.vercel.app
- https://1vw2ixjrti-3e9b5281ce.vercel.app
- https://jd8rxwmgwh-0735eebe2f.vercel.app
- https://vy6w6itqm8-2996498a9e.vercel.app
- https://msjprqs3jx-2c59da0405.vercel.app
- https://0kqj4h2pgv-adcf79cfa0.vercel.app
- https://exo5fnd4ho-56848d8c13.vercel.app
- https://e41pul71wi-0880265f81.vercel.app
- https://wnyqc5k66u-21f44bc213.vercel.app
- https://v0-northstar-cloud-landing-page.vercel.app
- Google Drive
- https://drive.google.com/file/d/18xr8p05iNDQuDfDxHchHx24p2854H2eo
- https://drive.google.com/file/d/1R1XIwXGtZ4GrC2m0SP79mguS5NxZjl_R
- Shorten.tv
- https://shorten.tv/NvII9
- https://shorten.tv/facebook-meta-password_and_security_change-pass
- Threat Actor Attributed
- https://phamtaitan.vn/
- https://dichvufbgiare.com/
- Reply-To / Scam Domains
- wajobfocus.com
- ExecutiveTeamtalent.com
- meetpinterestrecruiters.com
- mtarecruitglobal.com
- adobejobexplorer.com
- futureadobeworks.com
- adobecareerstrategy.com
- talentresourceadobe.com
- mtaworkmatch.com
- mtaworkfuture.com
- mtacareercommunity.com
- applejobcareer.com
- careercommunitycola.com
- hiringcontactpinterest.com
- jobseekermatchingmt.com
- wajobspot.com
- jobchannelpinteres.com
- page-deleted.metaverifiedprofilepage.com
- metaverifiedprofilepage.com
- deleted.protechpagemeta.com
- Emails
- noreply@appsheet.com
- phamtaitanads@gmail.com
Come evitare il furto del tuo account Facebook o Instagram
Per evitare che qualche malintenzionato rubi il tuo account Facebook o Instagram ricordati di fare attenzione a qualsiasi email affermi che il tuo account sta per essere disattivato, bloccato o sanzionato. Anche se il mittente sembra ufficiale e verificato, aspetta prima di intraprendere qualsiasi azione. Potrebbe trattarsi di una campagna di phishing molto avanzata.
Prima di fare qualsiasi cosa vai direttamente su facebook.com o sull’app di Facebook e non cliccare su nessuno dei link presenti nel messaggio. In caso di dubbi contatta dal sito o dall’app ufficiale l’assistenza per capire cosa sta realmente succedendo. Infine, se ancora non lo hai fatto, configura l’autenticazione a due fattori per Facebook e imposta le notifiche di accesso per nuovi dispositivi e posizioni.
