### AppSheet-Missbrauch für Phishing-Verbreitung Forscher von **Guardio** haben ein neues Schema identifiziert, bei dem Angreifer die **Google AppSheet**-Plattform nutzen, um Phishing-E-Mails zu verteilen und so traditionelle Spam-Filter effektiv zu umgehen. Die E-Mails geben sich als **Meta Support** aus und fordern Inhaber von **Facebook** Business-Konten auf, unter Androhung einer dauerhaften Kontolöschung Berufung einzulegen. Shaked Chen, ein Sicherheitsforscher bei **Guardio**, erklärte: „Was wir fanden, war kein einzelnes Phishing-Kit… Es war eine lebendige Operation mit Echtzeit-Operator-Panels, fortschrittlicher Umgehung, kontinuierlicher Weiterentwicklung und einer kriminell-kommerziellen Schleife, die sich leise von denselben Konten ernährt, die sie beim Stehlen hilft.“ ### Taktiken und Techniken Die Phishing-E-Mails stammen von einer legitimen **Google AppSheet**-Adresse (`[email protected]`), was ihnen einen Anschein von Authentizität verleiht. Opfer werden zu gefälschten Webseiten geleitet, die darauf ausgelegt sind, ihre Anmeldedaten zu stehlen. Diese Kampagne weist Ähnlichkeiten mit einem früheren Angriff auf, über den **KnowBe4** im Mai 2025 berichtet hat.  In den letzten Wochen haben die Angreifer ihre Köder diversifiziert, um eine „Meta-bezogene Panik“ auszulösen, darunter: * Drohungen mit Kontodeaktivierung * Urheberrechtsbeschwerden * Anfragen zur Verifizierungsprüfung * Betrug bei der Rekrutierung von Führungskräften * **Facebook**-Login-Benachrichtigungen **Guardio** identifizierte vier Hauptcluster von Angriffsvektoren: * Auf **Netlify** gehostete **Facebook**-Hilfe-Center-Seiten, die für Account-Übernahmen genutzt werden, persönliche Daten (Geburtsdatum, Telefonnummern, Ausweisdokumente) sammeln und an einen von den Angreifern kontrollierten **Telegram**-Kanal weiterleiten. * Köder für die Bewertung von blauen Abzeichen, die Opfer zu auf **Vercel** gehosteten „Sicherheitsprüfung“- oder „Meta | Datenschutzcenter“-Seiten umleiten, die durch CAPTCHAs geschützt sind und letztendlich zu Phishing-Seiten führen, die Kontaktdaten, Geschäftsinformationen, Anmeldedaten und 2FA-Codes stehlen und an einen **Telegram**-Kanal exfiltrieren. * Auf **Google Drive** gehostete PDFs, die als Anweisungen zur Kontoverifizierung getarnt sind und Passwörter, 2FA-Codes, Ausweisfotos und Browser-Screenshots mithilfe von html2canvas sammeln. Diese PDFs werden mit kostenlosen **Canva**-Konten generiert. * Gefälschte Stellenangebote, die legitime Unternehmen wie **WhatsApp**, **Meta**, **Adobe**, **Pinterest**, **Apple** und **Coca-Cola** nachahmen, um Vertrauen aufzubauen und weitere Kommunikation auf von Angreifern kontrollierten Plattformen zu fördern. ### Umfang und Auswirkungen Die mit diesen Angriffen verbundenen **Telegram**-Kanäle enthalten etwa 30.000 Opferdatensätze, hauptsächlich aus den USA, Italien, Kanada, den Philippinen, Indien, Spanien, Australien, dem Vereinigten Königreich, Brasilien und Mexiko. Viele dieser Opfer wurden aus ihren **Facebook**-Konten ausgesperrt. ### Zuschreibung Open-Source-Intelligenz (OSINT) deutet auf eine vietnamesische Person, „PHẠM TÀI TÂN“, als Autor der im dritten Angriffscluster verwendeten PDFs hin, die ein kostenloses **Canva**-Konto nutzen. Weitere Untersuchungen ergaben eine Website (`phamtaitan[.]vn`), die digitale Marketingdienste anbietet.  ### Implikationen „Zusammengenommen ergeben sie ein konsistentes Bild einer großen, in Vietnam ansässigen Mega-Operation“, schloss Chen. „Diese Kampagne ist größer als ein einzelner **AppSheet**-Missbrauch. Sie ist ein Fenster in den Schwarzmarkt für gestohlene **Facebook**-Assets, wo Zugriff, Geschäftsidentität, Anzeigenreputation und sogar die Kontowiederherstellung zu handelbaren Gütern geworden sind. Ein weiterer Eintrag in dem Muster, das wir immer wieder aufdecken: Vertrauenswürdige Plattformen, die als Zustellungs-, Hosting- und Monetarisierungsschichten wiederverwendet werden.“