Thought Leadership
Die Operation „AccountDumpling“ kompromittiert 30.000 Facebook-Accounts. Angreifer nutzen Google AppSheet als Relay, um Spam-Filter zu umgehen.
Sicherheitsforscher von Guardio haben eine umfangreiche Cyberspionage- und Betrugsoperation aufgedeckt, die gezielt Inhaber von Facebook-Business-Konten angreift. Das berichtete The Hacker News. Unter dem Codenamen „AccountDumpling“ nutzen vietnamesische Akteure eine Schwachstelle im Prozessfluss von Google AppSheet aus, um Phishing-E-Mails zu verbreiten, die von herkömmlichen Sicherheitslösungen kaum erkannt werden. Insgesamt wurden im Rahmen dieser Kampagne schätzungsweise 30.000 Facebook-Konten kompromittiert. Die gestohlenen Zugangsdaten und Identitätsdokumente werden anschließend über illegale Online-Shops monetarisiert.
Missbrauch von Google AppSheet als vertrauenswürdiger Relay
Der Angriff beginnt mit einer E-Mail, die vorgibt, vom Meta-Support zu stammen. Den Empfängern wird mitgeteilt, dass ihr Geschäftskonto gegen Gemeinschaftsrichtlinien verstoßen habe und eine dauerhafte Löschung bevorstehe, sofern kein Einspruch eingelegt wird. Technisch entscheidend ist hierbei der Absender: Die Nachrichten werden über die Adresse „[email protected]“ versendet. Da es sich um eine legitime Domain von Google handelt, stufen die meisten Secure Email Gateways (SEG) und Spam-Filter die Nachricht als vertrauenswürdig ein.
Die Angreifer nutzen die Automatisierungsfunktionen von AppSheet, um personalisierte Nachrichten zu generieren. Sobald ein Nutzer auf den in der E-Mail enthaltenen Link klickt, wird er auf eine Reihe von Landingpages geleitet, die darauf ausgelegt sind, sensible Informationen zu extrahieren. Diese Methode hebelt das Vertrauen aus, das Nutzer und Sicherheitssysteme in etablierte Cloud-Plattformen setzen.
Vier spezialisierte Angriffscluster zur Datenextraktion
Die Forscher identifizierten vier verschiedene Cluster innerhalb der Kampagne, die jeweils unterschiedliche technologische Infrastrukturen nutzen, um die Opfer zu täuschen:
Das erste Cluster nutzt auf Netlify gehostete Seiten, die als Hilfe-Center getarnt sind. Hier werden neben den Anmeldedaten auch Geburtsdaten, Telefonnummern und Fotos von amtlichen Ausweisdokumenten abgefragt. Die erhobenen Daten werden unmittelbar an einen von den Angreifern kontrollierten Telegram-Kanal weitergeleitet.
Ein zweites Cluster konzentriert sich auf die Verifizierung des sogenannten „Blue Badges“. Über Vercel-gehostete Seiten werden Nutzer durch eine vorgetäuschte CAPTCHA-Prüfung geleitet, bevor sie zur Eingabe ihrer Anmeldedaten, Zwei-Faktor-Authentifizierungscodes (2FA) und Geschäftsinformationen aufgefordert werden. Um die Erfolgsrate zu erhöhen, wird oft ein „erzwungener Fehlversuch“ eingebaut, der den Nutzer zur erneuten Eingabe des Passworts zwingt.
Im dritten Cluster kommen PDF-Dokumente zum Einsatz, die auf Google Drive gespeichert sind. Diese Dokumente enthalten Anweisungen zur Kontoverifizierung und leiten Nutzer auf Phishing-Seiten weiter, die mithilfe des Tools „html2canvas“ Screenshots vom Browser des Opfers erstellen. Die PDFs wurden mit kostenlosen Canva-Konten erstellt, was später einen entscheidenden Hinweis auf die Urheber lieferte.
Das vierte Cluster setzt auf Social Engineering durch gefälschte Stellenangebote. Die Angreifer imitieren bekannte Marken wie WhatsApp, Meta, Adobe oder Apple, um Vertrauen aufzubauen. Ziel ist es, die Opfer in private Chats oder auf manipulierte Plattformen zu locken, um dort den Zugriff auf die Business-Konten zu erlangen.
Automatisierte Exfiltration über Telegram-Kanäle
Die technische Infrastruktur hinter AccountDumpling ist auf Effizienz und Echtzeit-Verarbeitung ausgelegt. Die auf den Phishing-Seiten eingegebenen Daten werden nicht statisch in Datenbanken gespeichert, sondern über APIs direkt an Telegram-Bots gesendet. In den untersuchten Telegram-Kanälen fanden die Sicherheitsforscher etwa 30.000 Datensätze von Opfern aus den USA, Italien, Kanada, Indien, Spanien und weiteren Ländern.
Diese Echtzeit-Übermittlung erlaubt es den Hintermännern, sofort auf 2FA-Codes zu reagieren und die Konten zu übernehmen, bevor die Nutzer den Betrug bemerken. Sobald der Zugriff erfolgt ist, werden die rechtmäßigen Besitzer ausgesperrt und die Konten für den Weiterverkauf vorbereitet.
Identifizierung der vietnamesischen Hacker durch Metadaten
Ein entscheidender Fehler in der operativen Sicherheit der Angreifer führte zu ihrer Identifizierung. Die im dritten Cluster verwendeten PDF-Dokumente enthielten Metadaten, die auf einen Autor namens „PHẠM TÀI TÂN“ hindeuteten. Weitere Untersuchungen führten zu einer vietnamesischen Website (phamtaitan[.]vn), auf der digitale Marketing-Dienstleistungen und Beratungen für Strategien im Online-Marketing angeboten werden.
Analysen auf sozialen Netzwerken wie X (ehemals Twitter) bestätigten, dass die mit dieser Identität verknüpften Profile bereits seit Anfang 2023 im Bereich des Handels mit Marketing-Ressourcen aktiv sind. Es handelt sich somit um eine professionell organisierte Operation, die tief in das Ökosystem des vietnamesischen Cyber-Betrugs eingebettet ist.
Kommerzieller Kreislauf gestohlener digitaler Identitäten
AccountDumpling ist kein isolierter Vorfall, sondern Teil eines geschlossenen kommerziellen Kreislaufs. Die gestohlenen Konten dienen als wertvolle Handelsware. Besonders begehrt sind Facebook-Business-Accounts aufgrund ihres Anzeigenreputations-Status und der hinterlegten Zahlungsmethoden. Diese Konten werden genutzt, um betrügerische Werbung zu schalten oder um weitere Phishing-Kampagnen zu finanzieren.
Der Markt für gestohlene Facebook-Assets hat sich zu einer tragfähigen Schattenwirtschaft entwickelt, in der Zugangsberechtigungen, Geschäftsidentitäten und sogar Dienstleistungen zur „Wiederherstellung“ von Konten gehandelt werden. Dabei nutzen die Akteure konsequent vertrauenswürdige Plattformen wie Google, Netlify und Vercel als Hosting- und Monetarisierungsebenen.
Schutzmaßnahmen für Facebook-Business-Administratoren
Angesichts der Professionalität von AccountDumpling müssen Administratoren von Facebook-Business-Seiten ihre Sicherheitsvorkehrungen verschärfen. Ein wesentlicher Schritt ist die kritische Prüfung von E-Mails, auch wenn diese von scheinbar sicheren Google-Domains stammen. Meta fordert Nutzer grundsätzlich nicht dazu auf, Ausweisfotos oder 2FA-Codes auf externen Seiten einzugeben, die nicht direkt zur offiziellen Domain facebook.com gehören.
Zudem sollte die Verwendung von Hardware-Sicherheitsschlüsseln (U2F) für die Zwei-Faktor-Authentifizierung in Betracht gezogen werden, da diese im Gegensatz zu SMS- oder App-basierten Codes nicht durch einfache Phishing-Seiten abgefangen werden können. Unternehmen sollten zudem ihre Mitarbeiter regelmäßig über die Taktiken des Social Engineering aufklären, insbesondere im Zusammenhang mit gefälschten Rekrutierungsprozessen auf Plattformen wie LinkedIn oder Telegram.
