30 mil contas do Facebook hackeadas via AppSheet
Uma operação de cibercrime com origem no Vietnã foi identificada explorando o Google AppSheet como ponte de phishing para roubar e revender mais de 30 mil contas do Facebook. A campanha, batizada de AccountDumpling pela empresa de segurança Guardio, revela uma nova tática de uso indevido de plataformas legítimas para fins de fraude digital.
Como o ataque foi conduzido
O ataque começa com e-mails falsos supostamente enviados pelo Meta Support, alertando proprietários de contas comerciais do Facebook sobre uma suposta violação de políticas ou ameaça de exclusão da conta. As mensagens eram enviadas por endereços legítimos do Google AppSheet (noreply@appsheet.com), o que ajudava a burlar filtros de spam e aumentar a taxa de sucesso das investidas.
Esses e-mails direcionavam os usuários a páginas falsas de apelação de conta hospedadas em plataformas como Netlify e Vercel, imitando o design oficial do Facebook. Nessas páginas, as vítimas eram levadas a informar credenciais, datas de nascimento, números de telefone e até documentos de identidade, que eram imediatamente enviados para canais privados no Telegram controlados pelos criminosos.
Os quatro modos de ataque identificados
- Ajuda falsa do Facebook: páginas hospedadas no Netlify simulavam o centro de suporte, solicitando dados pessoais e login;
- Verificações de selo azul: sites clonados no Vercel simulavam a checagem de páginas empresariais com Captchas falsos antes de roubar credenciais e códigos 2FA;
- PDFs no Google Drive: documentos hospedados na nuvem traziam instruções falsas para confirmação de conta e enviavam senhas e capturas de tela aos atacantes;
- Ofertas de emprego falsas: mensagens fingindo ser de companhias conhecidas como Meta, Apple e Adobe criavam credibilidade antes de induzir as vítimas a sites controlados pelos criminosos.
Indícios e autoria
A investigação da Guardio revelou metadados de documentos falsos produzidos com uma conta gratuita do Canva, que incluíam o nome PHẠM TÀI TÂN. Cruzando informações abertas, os analistas chegaram ao site phamtaitan.vn, que oferece serviços de marketing digital – possível fachada para o grupo criminoso. Em publicações antigas no X (antigo Twitter), a conta associada mencionava serviços de consultoria em marketing, o que reforça a ligação com a manipulação de campanhas de anúncios online.
Segundo o pesquisador Shaked Chen, responsável pelo levantamento, a operação não se resume a kits de phishing isolados. Trata-se de um ecossistema completo com painéis em tempo real, automação de ataques, evasão avançada e revenda organizada de perfis comprometidos – evidenciando um mercado paralelo de identidades digitais.
“Esta campanha revela uma engrenagem criminosa em escala industrial, com o Vietnã servindo como epicentro de operações voltadas ao comércio de contas roubadas do Facebook”, descreveu Shaked Chen, da Guardio Labs.
Impacto global e prevenção
Os ataques visaram usuários dos Estados Unidos, Itália, Canadá, Filipinas, Índia, Espanha, Austrália, Reino Unido, Brasil e México. A maioria perdeu o acesso às próprias contas, agora revendidas em fóruns clandestinos. As vítimas incluíam gestores de publicidade digital e empreendedores dependentes da plataforma para negócios.
Para se proteger, especialistas recomendam cautela com mensagens de urgência vindas de supostos canais oficiais, checar a autenticidade de e-mails e ativar camadas adicionais de verificação, como o 2FA físico. Nenhum pedido de apelação de conta legítimo da Meta é enviado via AppSheet ou links externos ao domínio facebook.com.
Contas do Facebook hackeadas: Considerações finais
A campanha AccountDumpling exemplifica uma nova era de golpes digitais: o uso de plataformas confiáveis como infraestrutura de ataque. Mais do que uma simples fraude, o caso mostra a maturidade técnica de hackers que reutilizam sistemas legítimos – como AppSheet, Vercel e Netlify – para dar aparência de autenticidade a ataques de engenharia social. O estudo reforça a necessidade de políticas de segurança mais rígidas em ferramentas SaaS de uso corporativo.
O que é o ataque AccountDumpling?
É uma operação de phishing conduzida por cibercriminosos vietnamitas que exploraram o Google AppSheet para enviar e-mails falsos fingindo ser a Meta, comprometendo cerca de 30 mil contas do Facebook.
Como os hackers conseguiram burlar filtros de spam?
Os e-mails eram enviados a partir de endereços oficiais do domínio AppSheet, o que fez com que passassem despercebidos por verificações de segurança convencionais.
Que países foram mais afetados pela campanha?
Estados Unidos, Canadá, Brasil, Reino Unido e Índia estão entre os mais atingidos pelo roubo de credenciais e clonagem de páginas empresariais do Facebook.
Como evitar cair em golpes semelhantes?
Desconfie de mensagens que solicitam urgência ou verificação de conta fora de domínios oficiais. Ative autenticação em dois fatores com chave de segurança e jamais forneça senhas em formulários externos.
