Google-palvelusta ase Facebook-kaappaajille – 30 000 tiliä varastettu
Kalasteluviestit, jotka tulevat aidosti Googlen palvelimilta, ohittavat lähes kaikki sähköpostisuodattimet. Juuri siksi uusi hyökkäyskampanja on onnistunut kaappaamaan kymmeniä tuhansia Facebook-tilejä.
Tiivistelma
Guardio Labsin paljastama AccountDumpling-operaatio käytti Googlen AppSheet-alustaa kalasteluviestien lähettämiseen. Viestit läpäisivät sähköpostiturvallisuustarkistukset, koska ne tulivat Googlen omasta infrastruktuurista. Noin 30 000 Facebook-tiliä kaapattiin. Suomessa KTK on varoittanut kiihtyvästä Facebook-kalastelusta.
Miksi kalasteluviesti päätyy postilaatikkoon eikä roskapostikansioon? Yleensä sähköpostisuodattimet pysäyttävät väärennetyt viestit. Mutta kun viesti lähtee aidosti Googlen palvelimilta, suodattimet päästävät sen läpi.
Tietoturvayhtiö Guardio Labsin tutkija Shaked Chen paljasti laajan kampanjan, jossa Googlen AppSheet-alustaa käytettiin Facebook-tilien kalasteluun. Operaatio kantaa nimeä AccountDumpling. Noin 30 000 Facebook-tiliä kaapattiin.
Googlen palvelimet huijauksen välineenä
AppSheet on Googlen no-code-alusta sovellusten rakentamiseen. Hyökkääjä käytti sitä kuitenkin kalasteluviestien massakuljetukseen.
Viestit lähtivät osoitteista noreply@appsheet.com ja appsheet.bounces.google.com. Ne läpäisivät SPF-, DKIM- ja DMARC-tarkistukset, koska viestit kulkivat aidosti Googlen infrastruktuurin kautta. Microsoftin ja muiden palveluntarjoajien sähköpostisuodattimet eivät hälyttäneet.
SPF, DKIM ja DMARC (sähköpostin todennusprotokollat)
Sähköpostipalvelimet tarkistavat näillä kolmella protokollalla, onko viesti lähetetty oikeasta paikasta. Jos tarkistukset menevät läpi, viesti luokitellaan luotettavaksi. Kun hyökkääjä käyttää Googlen omaa palvelua, tarkistukset menevät läpi aidosti – eikä suodatin huomaa mitään poikkeavaa.
Guardio Labsin mukaan kampanjassa käytettiin myös polymorfisia tunnistekoodeja. Jokainen viesti sai yksilöllisen Case ID -numeron, joka vaikeutti kuviotunnistusta ja esti suodattimia oppimasta viestien toistuvia piirteitä.
Kalastelusivu varastaa myös kaksivaiheisen koodin
Kampanjan kalastelysivut eivät olleet tavallisia kopiointisivuja. Ne toimivat man-in-the-middle-välityspalvelimina uhrin ja Facebookin välissä.
Kun uhri syötti tunnuksensa kalastelusivulle, sivu välitti ne reaaliajassa Facebookille ja nappasi samalla kaksivaiheisen tunnistautumisen koodin. Hyökkääjä sai haltuunsa sekä salasanan että aktiivisen istunnon.
Hyökkäyksen takana oli useita rinnakkaisia klustereita. Osa jäljitteli Metan tukikeskusta Netlify-palvelussa, osa tarjosi sinisen vahvistusmerkin hakusivuja Vercelissä. Lisäksi käytettiin Canva-PDF-tiedostoja Google Drivessä ja vääriä rekrytointi-ilmoituksia.
Varastetut tunnukset ohjautuivat automaattisesti Telegram-kanaville, joissa niitä myytiin tai käytettiin jatkohuijauksiin.
– Operaation takana on vietnamilaistaustainen tekijä. Canva-PDF-tiedostojen metatiedoista paljastui nimi "PHAM TAI TAN" ja yhteys vietnamilaiselle verkkosivustolle, Chen kertoo.
Uhreista 68 prosenttia oli Yhdysvalloissa. Loput jakautuivat Eurooppaan ja Aasiaan. The Hacker Newsin mukaan Meta ja Google eivät ole toistaiseksi kommentoineet tapausta.
Suomessa Facebook-kalastelu kiihtyy
Kyberturvallisuuskeskus on varoittanut vuoden 2026 aikana kiihtyvästä Facebook-kalastelusta Suomessa. Kaapattuja tilejä käytetään arvontalottoteemaisten viestien lähettämiseen tuttavapiirille. Uhreja pyydetään antamaan puhelinnumeroita ja kaksivaiheisen tunnistautumisen koodeja.
Kuvio on tuttu: kaverin tililtä tulee viesti, jossa luvataan arvontavoittoa. Viesti tuntuu luotettavalta, koska se tulee tunnetulta henkilöltä. Todellisuudessa tili on kaapattu ja viestit lähtevät rikollisen hallinnasta.
AppSheet-kampanja selittää osaltaan, miksi kalasteluviestit ovat niin vaikeita tunnistaa. Jos viesti tulee ihan oikeasti Googlen palvelimilta, perinteinen neuvo "tarkista lähettäjän osoite" ei enää riitä. Tätä artikkelia kirjoitettaessa AccountDumpling-operaatio näyttää yhä aktiiviselta.
Tunnistusmerkit
Vaikka viesti läpäisee tekniset suodattimet, sisällöstä voi yhä tunnistaa kalastelun.
- Facebook ei lähetä tukiviestejä Googlen osoitteista. Jos viesti tulee @appsheet.com-osoitteesta ja väittää olevansa Metalta, kyseessä on huijaus.
- Sinisen merkin verifiointia ei haeta sähköpostilinkillä. Meta ei lähetä sinisen merkin hakemuksia sähköpostiin.
- Kiirehtiminen ja uhkailu. Viestit väittävät tyypillisesti, että tili suljetaan pian ilman toimenpiteitä.
- Linkki ohjaa muualle kuin facebook.com-osoitteeseen. Tarkista osoiterivi aina ennen kirjautumista.
Mitä tehdä
Älä kirjaudu Facebookiin sähköpostilinkin kautta. Jos saat ilmoituksen tilistäsi, avaa Facebook suoraan selaimessa tai sovelluksessa ja tarkista tilanne sieltä.
Ota käyttöön FIDO2-turva-avain tai passkey. Perinteinen kaksivaiheinen tunnistautuminen tekstiviestillä tai sovelluksella ei suojaa man-in-the-middle-hyökkäykseltä. Fyysinen turva-avain tarkistaa myös sivuston osoitteen.
Tarkista Facebook-tilisi kirjautumiset. Facebookin asetuksista kohdasta Suojaus ja kirjautuminen näet, mistä tiliäsi on käytetty. Jos listalla on tuntemattomia laitteita, vaihda salasanasi välittömästi.
Ilmoita kalasteluyrityksistä Kyberturvallisuuskeskukselle osoitteessa ilmoita.kyberturvallisuuskeskus.fi.
Jos tilisi on jo kaapattu, vaihda salasana heti osoitteessa facebook.com/hacked. Jos et pääse kirjautumaan, käytä Metan tilinpalautustyökalua. Tee tarvittaessa rikosilmoitus poliisin verkkopalvelussa.
Kun kalasteluviestit tulevat luotettujen palveluiden kautta, tekninen tunnistaminen vaikeutuu. Paras puolustus on edelleen sama: älä kirjaudu palveluihin linkkien kautta. Mene aina itse perille.