01.05.2026
1 хв
178
Кіберзлочинці викрали десятки тисяч акаунтів Facebook, використовуючи заражені розширення для браузера. Кампанія була добре організованою і тривалий час залишалася непоміченою.
Нещодавно дослідники виявили масштабну фішингову операцію, пов’язану з В’єтнамом, у якій зловмисники використали Google AppSheet як своєрідний «ретранслятор» для розсилки шкідливих листів. Головна мета кампанії – отримати доступ до акаунтів Facebook і далі заробляти на їх продажі.
Аналітики з Guardio дали цій схемі назву AccountDumpling. За їхніми оцінками, у межах кампанії було зламано близько 30 тисяч акаунтів. Після викрадення доступів їх продавали через підпільний онлайн-магазин, який контролюють самі ж зловмисники.
Як пояснює дослідник Шакед Чен, це не була класична фішинг-кампанія з готовими наборами інструментів.
«Ми не знайшли жодного фішингового набору. Це була жива операція з панелями оператора в режимі реального часу, розширеним ухиленням від шахрайства, безперервною еволюцією та злочинно-комерційним циклом, який непомітно живиться тими ж обліковими записами, які вона допомагає викрасти».
Атака починалася з листа, який виглядав як повідомлення від служби підтримки Meta. Найчастіше він був спрямований на власників бізнес-акаунтів і містив попередження: якщо не подати апеляцію, сторінку можуть видалити. Листи надходили з адреси Google AppSheet ([email protected]), що допомагало обходити спам-фільтри та викликало довіру.
Далі все працювало на емоціях. Людину змушували поспішати і переходити за посиланням, яке вело на підроблену сторінку входу. Там збирали логіни, паролі та інші дані. Подібні атаки вже фіксувалися раніше, зокрема про схожу кампанію повідомляли ще у травні 2025 року.
Останні хвилі атак використовували різні сценарії, щоб викликати паніку. Серед них були блокування акаунта, скарги на порушення авторських прав, запити на верифікацію, пропозиції роботи або повідомлення про підозрілий вхід.
Дослідники виділили кілька основних напрямків, через які працювала схема:
Фейкові сторінки довідкового центру Facebook, розміщені на Netlify. Вони не лише викрадали доступ до акаунтів, а й збирали особисті дані, включно з датами народження, телефонами та навіть фото документів. Уся інформація відправлялася в Telegram-канали зловмисників.
Сторінки з «синіми значками» та перевірками безпеки на Vercel. Вони імітували CAPTCHA, після чого виманювали контактні дані, бізнес-інформацію, логіни, паролі та коди двофакторної автентифікації.
PDF-файли на Google Диску, які маскувалися під інструкції для підтвердження акаунта. Вони змушували користувачів передавати паролі, 2FA-коди, фото документів і навіть скріншоти браузера. Такі файли створювалися через безкоштовні акаунти Canva.
Фальшиві вакансії від імені великих компаній, зокрема WhatsApp, Meta, Adobe, Pinterest, Apple та Coca-Cola. Жертвам пропонували перейти на сторонні сайти або приєднатися до дзвінків, де продовжувався збір даних.
Загалом у Telegram-каналах, пов’язаних із цією схемою, виявили близько 30 тисяч записів про жертв. Більшість із них – користувачі зі США, Італії, Канади, Філіппін, Індії, Іспанії, Австралії, Великої Британії, Бразилії та Мексики. У багатьох випадках люди втрачали доступ до власних акаунтів.
Що стосується організаторів, то непрямі докази ведуть до В’єтнаму. Зокрема, в метаданих PDF-файлів виявили ім’я «PHẠM TÀI TÂN». Подальший OSINT-аналіз привів дослідників до сайту phamtaitan[.]vn, де пропонуються послуги цифрового маркетингу.
У соцмережах цей ресурс позиціонував себе як платформа для маркетингових послуг і консультацій. Проте зібрані факти вказують на інше.
Як підсумував Чен, ця історія значно ширша за просте зловживання AppSheet. За його словами, це фактично вікно в цілий чорний ринок викрадених Facebook-акаунтів, де продається все – доступ, бізнес-сторінки, рекламна репутація і навіть послуги з відновлення профілів.
І головне, що повторюється знову і знову: легітимні платформи перетворюються на інструменти для доставки атак, хостингу фішингу та подальшої монетизації викрадених даних.
