Sembra assurdo, eppure è successo davvero: una campagna phishing battezzata AccountDumpling ha sfruttato email inviate da Google per compromettere oltre 30.000 account Facebook. A scoprirlo sono stati i ricercatori di Guardio, azienda specializzata in sicurezza e privacy, che hanno ricostruito pezzo dopo pezzo un’operazione sofisticata, silenziosa e decisamente inquietante.
Il meccanismo funzionava così: le email arrivavano autenticate, firmate e perfettamente legittime agli occhi dei filtri antispam, perché passavano attraverso Google AppSheet, trasformato di fatto in un punto di inoltro per il phishing. I messaggi sembravano provenire direttamente da Google, il che rendeva quasi impossibile distinguerli da comunicazioni autentiche. Una volta che la vittima cadeva nella trappola, gli account Facebook rubati venivano rivenduti tramite un sito gestito dagli stessi criminali.
Ma non finisce qui. Seguendo le tracce, i ricercatori di Guardio hanno scoperto un ecosistema molto più ampio: cloni di Facebook ospitati su Netlify, trappole a premi costruite su Vercel, PDF caricati su Google Drive e tecniche di ingegneria sociale che imitavano processi di reclutamento lavorativo. Tutto collegato alla stessa rete autenticata da Google e alimentato da un’infrastruttura di bot su Telegram.
Un’operazione riconducibile al Vietnam con pannelli operativi in tempo reale
Quello che colpisce è il livello di organizzazione. Non si parla di un semplice kit di phishing da quattro soldi. Le email Google che hanno permesso il furto di migliaia di account Facebook facevano parte di un’operazione dotata di pannelli operativi in tempo reale, sistemi di elusione in continua evoluzione e un circolo vizioso dove gli stessi account rubati venivano usati per alimentare ulteriormente la macchina criminale.
I ricercatori sono riusciti a mappare circa 30.000 vittime e a ricondurre l’intera operazione a un nome vietnamita, incorporato per errore in un PDF generato con Canva che gli aggressori si erano dimenticati di ripulire. Un dettaglio apparentemente banale, ma che ha permesso di risalire fino alla fonte. Il team di Guardio ha anche recuperato dati sufficienti per contattare direttamente molte delle persone coinvolte, informandole della compromissione e aiutandole a intervenire prima che i danni si aggravassero ulteriormente.
Come proteggere il proprio account Facebook o Instagram
Per evitare di finire vittima di campagne simili, vale la pena tenere a mente alcune precauzioni fondamentali. Qualsiasi email che avverta di una presunta disattivazione, blocco o sanzione del proprio account Facebook o Instagram va trattata con estrema cautela, anche quando il mittente appare ufficiale e verificato. Prima di compiere qualsiasi azione, meglio fermarsi un attimo e ragionare.
Il consiglio più importante è non cliccare mai sui link contenuti nel messaggio. Piuttosto, aprire direttamente facebook.com oppure l’app di Facebook e verificare da lì se esiste davvero un problema. In caso di dubbi, contattare l’assistenza ufficiale direttamente dal sito o dall’app. Un altro passo decisivo, per chi non lo avesse ancora fatto, è configurare l’autenticazione a due fattori per Facebook e attivare le notifiche di accesso per nuovi dispositivi e posizioni sconosciute.
