كشف باحثون في الأمن السيبراني عن عملية واسعة النطاق مرتبطة بجهات فيتنامية استغلت منصة Google AppSheet كوسيط لتوزيع رسائل تصيّد إلكتروني تستهدف أصحاب حسابات الأعمال على فيسبوك. العملية التي أُطلق عليها اسم AccountDumpling من قبل شركة Guardio، أدت إلى اختراق نحو 30 ألف حساب فيسبوك، قبل أن يتم بيعها عبر متجر غير مشروع يديره المهاجمون.
آلية الهجوم عبر رسائل مزيفة من “Meta Support”
الهجمات تبدأ برسائل بريد إلكتروني تبدو وكأنها من فريق دعم “Meta”، تحذر المستخدمين من إغلاق حساباتهم إذا لم يقدموا استئنافاً فورياً. هذه الرسائل تُرسل من عنوان تابع لـ AppSheet (noreply@appsheet.com)، ما يسمح لها بتجاوز مرشحات البريد المزعج. بمجرد أن ينقر الضحية على الرابط، يتم توجيهه إلى صفحة مزيفة مصممة لسرقة بيانات الدخول.
أساليب الإغراء المتنوعة
خلال الأسابيع الأخيرة، تبنت الحملة عدة أساليب لإثارة “ذعر مرتبط بـ Meta”، منها:
- صفحات مساعدة مزيفة مستضافة على Netlify تجمع بيانات شخصية مثل تاريخ الميلاد وأرقام الهواتف وصور بطاقات الهوية، وترسلها إلى قنوات Telegram.
- صفحات تحقق مزيفة على Vercel تتضمن اختبار CAPTCHA وهمي قبل جمع بيانات الدخول وأكواد التحقق الثنائية (2FA).
- ملفات PDF مزيفة مستضافة على Google Drive، تُنشأ عبر حساب مجاني على Canva، وتوجه المستخدمين لتقديم كلمات المرور وصور الهوية ولقطات شاشة للمتصفح.
- عروض عمل وهمية تنتحل شركات كبرى مثل WhatsApp وMeta وAdobe وApple وCoca-Cola لبناء الثقة مع الضحايا.
حجم الاختراق والأدلة على هوية المهاجمين
قنوات Telegram المرتبطة بهذه الحملة تحتوي على بيانات نحو 30 ألف ضحية من دول متعددة بينها الولايات المتحدة، إيطاليا، كندا، الفلبين، الهند، إسبانيا، أستراليا، المملكة المتحدة، البرازيل، والمكسيك. الأدلة الرقمية أظهرت أن ملفات PDF المستخدمة في الحملة تحمل اسم مؤلف فيتنامي هو “PHẠM TÀI TÂN”، إضافة إلى موقع إلكتروني (phamtaitan[.]vn) يقدم خدمات تسويق رقمي، ما يعزز فرضية أن العملية تُدار من فيتنام.
سوق مظلم لحسابات فيسبوك المسروقة
الباحث شاكيد تشين وصف العملية بأنها “أكبر من مجرد إساءة استخدام لـ AppSheet”، مؤكداً أنها تمثل جزءاً من سوق مظلم ضخم حول أصول فيسبوك المسروقة، حيث تُباع بيانات الدخول والهويات التجارية وسمعة الإعلانات وحتى خدمات استعادة الحسابات كسلع قابلة للتداول. هذا يعكس نمطاً متكرراً في استغلال منصات موثوقة كطبقات للتوزيع والاستضافة والتربح غير المشروع.
