Campanya de phishing mitjançant Google AppSheet vulnera 30.000 comptes de Facebook
Una operació vinculada a actors vietnamites utilitza Google AppSheet com a relleu per segrestar comptes de Facebook a gran escala.

La nova amenaça: AccountDumpling i l'abús de plataformes legítimes
La seguretat digital s'enfronta a un nou repte després del descobriment d'una sofisticada campanya de phishing denominada AccountDumpling. Investigadors de Guardio han alertat sobre una operació d'origen vietnamita que utilitza la plataforma Google AppSheet com a "relleu" per distribuir correus maliciosos, aconseguint comprometre amb èxit aproximadament 30.000 comptes de Facebook.
L'ús d'eines legítimes de desenvolupament no-code permet als atacants evadir els filtres de seguretat tradicionals, ja que els correus electrònics semblen provenir de dominis fiables. Aquesta tàctica demostra com la vulnerabilitat humana continua sent l'esglaó més feble, fins i tot quan els atacants empren infraestructura de confiança per ocultar les seves intencions.
L'ecosistema del cibercrim i la monetització de dades
Aquest hack no és un incident aïllat, sinó part d'una cadena industrialitzada de cibercrim. Una vegada que els atacants prenen el control dels comptes, aquests no s'utilitzen únicament per al robatori d'identitat directe; en canvi, es posen a la venda en un aparador il·lícit gestionat pels mateixos actors.
"Els atacants han convertit el segrest de perfils en un model de negoci automatitzat, on l'accés al compte és la mercaderia principal", assenyalen els experts de Guardio.
Encara que aquest atac se centra en el robatori de credencials, és fonamental recordar que l'exposició de dades personals sol ser el pas previ per a atacs més greus, incloent-hi el desplegament de ransomware en entorns corporatius si els perfils compromesos tenen permisos administratius en xarxes socials empresarials. Com hem vist en altres incidents, com la vulnerabilitat crítica en cPanel i el risc de hack associat, la superfície d'atac és constant i multivectorial.
Recomanacions per protegir la seva identitat digital
Per evitar caure en aquest tipus d'enganys, és vital seguir aquestes pautes:
- Autenticació en dos passos (2FA): Utilitzi sempre aplicacions d'autenticació o claus físiques en lloc d'SMS.
- Verificació de remitents: No confiï cegament en correus, fins i tot si utilitzen plataformes corporatives conegudes com
Google AppSheet. - Monitoratge d'activitat: Revisi periòdicament els dispositius connectats al seu compte de Facebook i tanqui qualsevol sessió desconeguda.
La sofisticació d'aquestes campanyes subratlla la necessitat d'una postura de seguretat proactiva. La tecnologia, encara que potent, pot ser utilitzada en contra nostra si no es mantenen els protocols d'higiene digital adequats.
Fonts:
Articles relacionats
11 de julio de 2026
Condemna històrica: membre de la banda Ryuk ransomware admet la seva culpabilitat
Un ciutadà armeni es declara culpable als EUA pel desplegament de ransomware Ryuk, afrontant una possible sentència de 15 anys de presó.
11 de julio de 2026
Historic Conviction: Ryuk Ransomware Gang Member Admits Guilt
An Armenian national pleads guilty in the U.S. for deploying Ryuk ransomware and faces a potential 15-year prison sentence.
11 de julio de 2026
Condena histórica: miembro de la banda Ryuk ransomware admite su culpa
Un ciudadano armenio se declara culpable en EE. UU. por el despliegue de ransomware Ryuk, enfrentando una posible sentencia de 15 años de prisión.
10 de julio de 2026
Hackers exploten Microsoft Entra: Nova vulnerabilitat en passkeys
Un grup d'actors maliciosos utilitza enginyeria social per comprometre comptes de Microsoft 365 mitjançant falsos registres de passkeys a Entra.
Carregant comentaris...