PhishingHackerangriffeCyberkriminalität

AccountDumpling: Vietnamesische Hacker erbeuten 30.000 Facebook-Konten über Google AppSheet

Von CyberDeutsch Redaktion
AccountDumpling: Vietnamesische Hacker erbeuten 30.000 Facebook-Konten über Google AppSheet
Zusammenfassung

Eine neu entdeckte vietnamesische Hackergruppe nutzt Google AppSheet als Phishing-Relais, um etwa 30.000 Facebook-Konten zu kompromittieren. Die unter dem Namen "AccountDumpling" bekannte Operation startet mit täuschend echten Phishing-E-Mails, die angeblich von Meta Support stammen und Facebook-Business-Nutzer auffordern, einen Account-Appeal einzureichen, um nicht gesperrt zu werden. Durch die Verwendung von Google AppSheet-Adressen umgehen die Angreifer Spam-Filter und leiten Opfer auf gefälschte Anmeldeseiten weiter, um Anmeldedaten zu stehlen. Die gestohlenen Konten werden anschließend über ein illegales Marktplatz-Netzwerk verkauft. Sicherheitsanalysten identifizierten einen vietnamesischen Hintergrund basierend auf Metadaten in PDF-Dateien und einer digitalen Marketingwebseite. Für deutsche Nutzer und Unternehmen stellt diese Kampagne eine konkrete Bedrohung dar: Mit Facebook als Kernplattform für Business und Marketing sind deutsche Konten potenzielle Ziele. Besonders gefährdet sind Business-Account-Besitzer, die mit kritischen Firmendaten, Kundeninformationen und Werbebudgets verknüpft sind. Kompromittierte Konten können für Betrug, Datendiebstahl und Reputationsschäden missbraucht werden.

Die Cyberkriminalgruppe zielte gezielt auf Betreiber von Facebook-Business-Accounts ab. Die Phishing-E-Mails täuschten eine offizielle Mitteilung von Meta Support vor und drohten mit Kontosperrung, um ein Gefühl der Dringlichkeit zu erzeugen. Besonders raffiniert war die technische Umsetzung: Durch die Versendung über “noreply@appsheet.com” gelang es den Angreifern, viele Spam-Filter zu umgehen, da Google AppSheet als vertrauenswürdige Plattform gilt.

Die E-Mails leiteten Opfer auf gefälschte Webseiten weiter, auf denen sie ihre Anmeldedaten eingaben. Diese wurden daraufhin von den Kriminellen gestohlen. Laut Sicherheitsforscher Shaked Chen handelte es sich nicht um ein einfaches Phishing-Kit, sondern um eine hochprofessionelle, laufende Operation mit Echtzeit-Operator-Panels, fortgeschrittenen Evasionsmechanismen und kontinuierlicher Weiterentwicklung.

Die Kampagne nutzte verschiedene psychologische Tricks: Neben Kontodeaktivierungsmeldungen waren auch gefälschte Urheberrechtsbeschwerde, Verifizierungsüberprüfungen, Recruiter-Nachrichten und Login-Warnungen Teil des Angriffsvektors. Guardio identifizierte vier Hauptcluster dieser Angriffsmethoden, deren zugehörige Telegram-Kanäle zusammen etwa 30.000 Opferdatensätze enthielten.

Die meisten Betroffenen stammen aus den USA, Italien, Kanada, den Philippinen, Indien, Spanien, Australien, Großbritannien, Brasilien und Mexiko. Die Opfer wurden aus ihren eigenen Konten ausgesperrt.

Die Täter wurden durch Metadaten in PDF-Dateien identifiziert, die über den kostenlosen Canva-Service erstellt wurden. Dort war der vietnamesische Name “PHẠM TÀI TÂN” als Autor eingetragen. Weitere Open-Source-Intelligence-Recherchen führten zu einer Website (phamtaitan[.]vn), auf der die Betreiber Dienstleistungen im digitalen Marketing anbieten.

Die Kampagne zeigt ein besorgniserregendes Muster: Vertrauenswürdige Plattformen werden systematisch als Verteilungs-, Hosting- und Monetarisierungskanäle missbraucht. Der dunkle Markt rund um gestohlene Facebook-Konten hat sich zu einem professionellen Ökosystem entwickelt, in dem nicht nur Kontenzugriff, sondern auch Geschäftsidentitäten, Anzeigenreputationen und sogar Kontowiederherstellungen als Handelswaren fungieren.

Ähnliche Artikel