Phishing “Meta” via Google AppSheet: 30.000 account Facebook Business violati con email legittime noreply@appsheet.com

Una campagna di phishing su larga scala ha sfruttato Google AppSheet come canale di inoltro per inviare email fraudolente e compromettere account Facebook, con un impatto stimato di circa 30000 profili violati. Il meccanismo è particolarmente insidioso perché i messaggi partono da un indirizzo legittimo Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo., aumentando la probabilità di superare i filtri antispam e di risultare credibili agli occhi delle vittime.

Il bersaglio principale sono i proprietari di account Facebook Business. Le email imitano comunicazioni di assistenza Meta e spingono l’utente ad agire subito, ad esempio presentando un ricorso o completando una verifica, con la minaccia di una disattivazione o cancellazione permanente dell’account. Questa pressione psicologica è un classico della social engineering e serve a ridurre i tempi di valutazione e a favorire il clic su link malevoli.

Dopo il clic, l’utente viene reindirizzato verso pagine web contraffatte progettate per rubare credenziali e informazioni sensibili. In diversi scenari vengono richiesti anche dati aggiuntivi come data di nascita, numero di telefono e immagini di documenti di identità. In alcune varianti più evolute, la procedura include una finta verifica CAPTCHA e un flusso che forza un secondo inserimento della password, aumentando le probabilità di ottenere credenziali corrette e codici 2FA.

La distribuzione e l’hosting dei contenuti malevoli si appoggiano a servizi affidabili e diffusi, ad esempio pagine di supporto false ospitate su piattaforme di deploy, documenti PDF ospitati su cloud storage e contenuti creati con strumenti gratuiti di grafica. Questa scelta rende più difficile per gli utenti distinguere una risorsa lecita da un’esca e permette agli attaccanti di cambiare rapidamente infrastruttura per eludere i blocchi.

Un elemento ricorrente è l’esfiltrazione dei dati verso canali Telegram controllati dagli attori della minaccia, dove vengono raccolti record delle vittime e dettagli utili al takeover dell’account. Il valore economico di questi accessi è alto: identità business, reputazione pubblicitaria e possibilità di recupero dell’account diventano beni scambiabili in mercati illeciti.

Per ridurre il rischio, è fondamentale verificare il dominio dei link, evitare di inserire credenziali dopo aver cliccato da email non attese, attivare metodi di autenticazione robusti e controllare avvisi di accesso e sessioni attive direttamente dalle impostazioni ufficiali dell’account.