Kempen Pancingan Data Akaun
Satu kempen penjenayah siber berskala besar, yang dikaitkan dengan kumpulan ancaman berkaitan Vietnam dan digelar AccountDumpling, telah dikenal pasti memanfaatkan Google AppSheet sebagai mekanisme penyampaian pancingan data. Operasi ini mengedarkan e-mel yang mengelirukan dengan objektif utama untuk menjejaskan akaun Facebook, terutamanya yang berkaitan dengan pengguna perniagaan.
Tidak seperti kempen pancingan data konvensional, ini bukanlah satu set alat statik tetapi ekosistem yang dinamik dan sentiasa berkembang. Ia menggabungkan papan pemuka pengendali masa nyata, teknik pengelakan lanjutan dan saluran penjanaan wang berstruktur. Akaun yang dicuri disalurkan kembali ke pasaran bawah tanah yang dikawal oleh penyerang, mewujudkan gelung jenayah yang mampan. Kira-kira 30,000 akaun Facebook telah diceroboh sebagai sebahagian daripada kempen ini.
Isi kandungan
Kepercayaan yang Dipersenjatai: Mengeksploitasi Google AppSheet untuk Penghantaran E-mel
Rantaian serangan bermula dengan e-mel pancingan data yang direka dengan teliti yang menyamar sebagai Sokongan Meta. Mesej-mesej ini menyasarkan pemegang akaun Facebook Business, memberi amaran kepada mereka tentang pemadaman akaun yang akan berlaku melainkan tindakan segera diambil. Mangsa digesa untuk mengemukakan rayuan melalui pautan terbenam.
Faktor utama dalam keberkesanan kempen ini ialah penggunaan infrastruktur yang sah. E-mel dihantar daripada alamat Google AppSheet ('noreply@appsheet.com'), yang membolehkan mereka memintas banyak penapis spam dan keselamatan tradisional. Taktik ini meningkatkan kredibiliti dan kemungkinan penglibatan pengguna.
Kegemparan yang disampaikan dalam mesej-mesej ini mengarahkan penerima ke laman web palsu yang direka untuk mendapatkan kelayakan sensitif. Corak serangan yang serupa diperhatikan dalam kempen terdahulu, menunjukkan penambahbaikan dan penggunaan semula teknik yang berjaya secara berterusan.
Manipulasi Psikologi: Kejuruteraan 'Meta Panik'
Penyerang menggunakan pelbagai gewang kejuruteraan sosial untuk mencetuskan panik dan mendorong tindak balas pengguna yang pantas. Gewang ini direka bentuk secara strategik untuk meniru komunikasi Meta yang sah dan mengeksploitasi senario berasaskan ketakutan.
Kategori gewang utama termasuk:
Ancaman berkaitan akaun : Tuntutan penggantungan akaun, pelanggaran hak cipta atau keperluan pengesahan segera
Amaran keselamatan : Pemberitahuan log masuk yang mencurigakan atau pemeriksaan keselamatan mandatori
Insentif perniagaan dan status : Tawaran pengesahan lencana biru atau peluang pengambilan eksekutif
Penyamaran korporat : Tawaran kerja palsu daripada jenama terkenal untuk membina kepercayaan dan memulakan penglibatan
Setiap tarikan direka untuk memanipulasi tingkah laku pengguna, sekali gus meningkatkan kemungkinan pendedahan kelayakan.
Infrastruktur Pancingan Data Berbilang Saluran: Mekanisme Penghantaran yang Pelbagai
Kempen ini dicirikan oleh penggunaan pelbagai platform pengehosan dan kaedah penyampaian, setiap satunya memainkan peranan khusus dalam pengumpulan data dan penyusupan keluar. Empat kluster serangan utama termasuk:
- Halaman pancingan data yang dihoskan oleh Netlify: Portal Pusat Bantuan Facebook palsu yang direka untuk mendapatkan kelayakan log masuk, data peribadi dan pengenalan diri yang dikeluarkan oleh kerajaan. Data yang dikumpul dihantar ke saluran Telegram yang dikawal oleh penyerang.
- Halaman 'Semakan Keselamatan' yang dihoskan oleh Vercel: Halaman-halaman ini mensimulasikan portal privasi atau keselamatan Meta dan menyertakan cabaran CAPTCHA palsu. Mangsa diminta untuk memasukkan semula kelayakan dan memberikan kod pengesahan dua faktor (2FA), yang semuanya diekstrak dalam masa nyata.
- Umpan PDF yang dihoskan oleh Google Drive: Disamarkan sebagai arahan pengesahan rasmi, dokumen-dokumen ini mengalihkan pengguna ke halaman pancingan data yang mengumpul kata laluan, kod 2FA, foto ID dan juga tangkapan skrin pelayar menggunakan skrip terbenam.
- Aliran kerja pengambilan pekerja palsu: Penyamaran syarikat-syarikat utama untuk mewujudkan kredibiliti, diikuti dengan pengalihan ke platform berniat jahat untuk interaksi selanjutnya dan penuaian data.
Secara kolektif, saluran Telegram yang dipautkan ke kluster ini mengandungi kira-kira 30,000 rekod mangsa. Individu yang terjejas kebanyakannya berada di seluruh Amerika Utara, Eropah, Asia dan Australia, yang kebanyakannya telah kehilangan akses kepada akaun mereka.
Wawasan Atribusi: Mengesan Pelakon di Sebalik Kempen
Bukti atribusi kritikal muncul daripada metadata yang terbenam dalam PDF pancingan data yang dijana melalui akaun Canva percuma. Fail-fail tersebut menyenaraikan 'PHẠM TÀI TÂN' sebagai pengarang, memberikan pautan langsung kepada individu yang berpotensi bertanggungjawab atas operasi tersebut.
Risikan sumber terbuka selanjutnya mendedahkan laman web yang sepadan, 'phamtaitan.vn,' yang mempromosikan perkhidmatan pemasaran digital. Kenyataan awam yang berkaitan dengan entiti ini menunjukkan tumpuan pada sumber pemasaran dan perundingan strategik, mencadangkan set kemahiran dwiguna yang boleh dimanfaatkan untuk tujuan yang sah dan berniat jahat.
Ekonomi Bawah Tanah: Mengewangkan Identiti Digital yang Terjejas
Kempen ini menggambarkan trend yang lebih luas dalam jenayah siber: pengkomersialan identiti digital. Akaun Facebook yang terjejas bukan sekadar titik akhir tetapi aset berharga dalam pasaran bawah tanah yang berkembang maju.
Penyerang menukar akses kepada akaun berdasarkan faktor seperti gabungan perniagaan, sejarah pengiklanan dan potensi pemulihan. Operasi ini menunjukkan bagaimana platform yang dipercayai, Google AppSheet, Netlify, Vercel dan lain-lain, digunakan semula sebagai lapisan infrastruktur untuk penghantaran, pengehosan dan pengewangan.
Kempen AccountDumpling berfungsi sebagai contoh yang jelas tentang bagaimana pelaku ancaman moden mengintegrasikan kejuruteraan sosial, perkhidmatan awan dan ekonomi bawah tanah ke dalam perusahaan jenayah siber yang padu dan boleh diskala.
