Vietnamesische Phishing-Kampagne kapert rund 30.000 Facebook-Konten über Google AppSheet

Zusammenfassung

Sicherheitsforscher von Guardio haben eine mutmaßlich aus Vietnam stammende Phishing-Operation aufgedeckt, die den Dienst Google AppSheet als "Phishing-Relay" missbraucht, um Facebook-Konten zu übernehmen. Die unter dem Namen AccountDumpling geführte Kampagne soll nach Schätzung der Forscher rund 30.000 Facebook-Konten kompromittiert haben. Die Angreifer verkaufen die gestohlenen Zugänge anschließend über einen eigenen illegalen Shop zurück. Ausgangspunkt sind Phishing-Mails an Inhaber von Facebook-Business-Konten, die vorgeben, von Meta Support zu stammen, und mit der angeblich drohenden dauerhaften Löschung des Kontos Druck aufbauen. Weil die Nachrichten von einer Google-AppSheet-Adresse ("noreply@appsheet.com") verschickt werden, umgehen sie Spam-Filter. Laut dem Forscher Shaked Chen handelt es sich nicht um ein einzelnes Phishing-Kit, sondern um eine "lebendige Operation" mit Steuerungspanels in Echtzeit, fortgeschrittenen Ausweichtechniken und einem kriminell-kommerziellen Kreislauf, der von genau den Konten lebt, die er stehlen hilft. Die Forscher ordnen die Aktivität in ein bekanntes Muster ein: vietnamesische Akteure, die mit wechselnden Taktiken unautorisierten Zugriff auf Facebook-Konten erlangen und diese in Untergrund-Marktplätzen zu Geld machen.

Der Einstieg in die Angriffe erfolgt über eine Phishing-Mail an Besitzer von Facebook-Business-Konten. Die Nachricht gibt sich als Mitteilung von Meta Support aus und fordert die Empfänger auf, Einspruch einzulegen – andernfalls werde das Konto endgültig gelöscht. Der erzeugte Zeitdruck leitet die Nutzer auf eine gefälschte Webseite, die ihre Zugangsdaten abgreift. Eine ähnliche Kampagne hatte KnowBe4 bereits im Mai 2025 beschrieben.

In den vergangenen Wochen erweiterten die Angreifer ihr Repertoire an Ködern, die gezielt eine “Meta-bezogene Panik” auslösen sollen. Die Bandbreite reicht von angeblichen Kontosperren und Urheberrechtsbeschwerden über Verifizierungsprüfungen und vorgebliche Stellenangebote für Führungskräfte bis hin zu Warnungen über Facebook-Logins. Guardio identifizierte dabei vier Hauptcluster.

Die Telegram-Kanäle der ersten drei Cluster enthalten den Forschern zufolge zusammen etwa 30.000 Opferdatensätze. Die Betroffenen, die aus ihren eigenen Konten ausgesperrt wurden, befinden sich überwiegend in den USA, Italien, Kanada, den Philippinen, Indien, Spanien, Australien, Großbritannien, Brasilien und Mexiko.

Den entscheidenden Hinweis auf die Urheber lieferten PDF-Dateien aus dem dritten Cluster, die mit einem kostenlosen Canva-Konto erstellt wurden. Deren Metadaten weisen den vietnamesischen Namen “PHẠM TÀI TÂN” als Autor aus. Weitere Open-Source-Recherchen führten zu einer Website (“phamtaitan[.]vn”), auf der Dienstleistungen im Bereich digitales Marketing angeboten werden. In einem Beitrag auf X aus dem Februar 2023 erklärte der Betreiber der Seite, man sei auf digitale Marketingdienste, Marketingressourcen und die Beratung zu wirksamen Digitalmarketing-Strategien spezialisiert.

“Zusammengenommen ergeben sie das stimmige Bild einer großen, in Vietnam ansässigen Mega-Operation”, sagte Chen. Die Kampagne sei mehr als ein bloßer Missbrauch von AppSheet – sie biete einen Einblick in den Schwarzmarkt rund um gestohlene Facebook-Ressourcen, auf dem Zugang, Geschäftsidentität, Werbe-Reputation und sogar die Kontowiederherstellung zu handelbaren Waren geworden seien. Es sei ein weiteres Beispiel für ein wiederkehrendes Muster, bei dem vertrauenswürdige Plattformen als Schicht für Auslieferung, Hosting und Monetarisierung zweckentfremdet würden.

Vietnamesische Phishing-Kampagne kapert rund 30.000 Facebook-Konten über Google AppSheet

Ähnliche Artikel

Neueste Artikel