Sahte Facebook e-postaları Google AppSheet aracılığıyla dağıtılıyor.
Google’ın mobil ve web uygulamalarına yönelik sunduğu AppSheet platformu, siber suçlular için yeni bir hedef haline gelmiştir. KnowBe4 tarafından yayınlanan son raporlara göre, saldırganlar bu platformu kullanarak sahte e-postalar gönderip kullanıcıların Facebook bilgilerini toplamaya çalışıyorlar. E-postalar, Google’a ait olduğu izlenimi veren “[email protected]” adresinden gönderilmektedir. Bu durum, birçok kurumsal e-posta filtreleme sistemini aşmayı başarıyor.
Saldırganlar, gönderdiği içeriklerde kullanıcıları, Facebook hesaplarının telif hakkı ihlali nedeniyle 24 saat içinde kapatılacağı konusunda uyarıyor. Mesajın altında ise, kullanıcıların hesaplarını kurtarması için sahte bir “İtiraz Gönder” bağlantısı veriliyor. Bu bağlantıya tıklayan kullanıcılar, Facebook’un giriş sayfasını taklit eden sahte bir web sitesine yönlendiriliyor. Bu site, Vercel üzerinde barındırıldığından, saldırının güvenilirliği artıyor.
E-postalarda bulunan bağlantılar, alıcıları kimlik bilgilerini ve iki faktörlü doğrulama (2FA) kodlarını girmeye yönlendiriyor. Kullanıcı bu bilgileri paylaştığında, saldırganlar bu verileri anlık olarak kullanıyor. Facebook’a yapılan sahte giriş girişiminde ise öncelikle yanlış şifre uyarısı veriliyor. Bu adım, girilen bilgilerin doğruluğunu test etmeye yönelik kullanılıyor.
Sahte Facebook uyarılarıyla oluşturulan senaryolar kullanıcıyı tuzağa düşürüyor
Saldırganların kullandığı AppSheet tabanlı otomasyon sayesinde, her e-postaya benzersiz bir kimlik numarası ekleniyor. Bu yöntem, e-postaların aynı içerikte görünmesini engelleyerek algılama sistemlerinden kaçmasına yardımcı oluyor. Ayrıca, e-postaların Google’a ait bir adresten gelmesi, kullanıcılarda şüphe uyandırmıyor ve birçok kişi bu mesajlara güven duyabiliyor.
Gönderilen e-postalar, Microsoft 365 ve diğer güvenlik katmanlarını da atlatıyor. AppSheet aracılığıyla gönderilen e-postalar, DMARC, DKIM ve SPF gibi kimlik doğrulama denetimlerinden başarıyla geçtikleri için kurumsal e-posta ağlarında doğrudan gelen kutusuna düşüyor. Bu durum, saldırganların iletilerinin pek çok kullanıcıya kolayca ulaşmasını sağlıyor ve bu yöntem, geleneksel kimlik avı tekniklerinden çok daha etkili hale geliyor.
KnowBe4’ün elde ettiği verilere göre, bu yöntemle gönderilen sahte e-postaların büyük bir kısmı Facebook markasını taklit ediyor. Özellikle 20 Nisan 2025 tarihinde, AppSheet üzerinden gönderilen kimlik avı e-postalarının yüzde 98’i Meta’yı hedef almıştı. Her ne kadar e-posta adresi Google’a ait görünse de, içerik tamamen sahte bilgilerle doludur. Bu tür eylemler, platformların açıklarını kötüye kullanarak gerçekleştirilen bir yapıyı ortaya koyuyor.
Vercel üzerinde barındırılan sahte Facebook sayfası, kullanıcıdan giriş bilgileri ve 2FA kodu talep ediyor. Bu veriler, doğrudan saldırganların kontrolündeki bir sisteme iletiliyor. Sonrasında elde edilen 2FA kodları anında Facebook’a iletiliyor ve saldırganlar geçerli oturum belirteci elde ediyor. Bu belirteçler, şifre değişse bile hesaba erişimin devam etmesini sağlıyor.
Saldırının karmaşık yapısı, AppSheet’in kötüye kullanımıyla birleştiğinde tespit edilmesini zorlaştırıyor. Özellikle e-posta filtreleme sistemlerinin alan adı doğrulama temelli çalışması, bu tür saldırılarda etkisiz kalmaktadır. Kullanıcılardan gelen şikâyetler genellikle geç fark ediliyor ki bu da saldırganlara daha geniş bir etki alanı sağlıyor.
Kullanıcıların bu tür saldırılardan korunmak için e-posta adreslerini, içerik bağlantılarını ve yönlendirildikleri siteleri dikkatlice kontrol etmeleri gerekiyor. İki faktörlü doğrulama sistemlerinin kullanılması önemlidir ancak bu sistemlerin tek başına yeterli koruma sağlamadığı da bir kez daha anlaşılmaktadır. Kurumsal düzeyde güvenlik çözümlerinin güncel tutulması, bu tür saldırıların önlenmesinde etkili bir strateji olabilir.
Tüm bunların yanında, AppSheet gibi platformların kötüye kullanımını önlemek için yeni kontrol mekanizmalarının devreye alınması beklenmektedir. Özellikle e-posta gönderimlerine yönelik sınırlamalar, benzer vakaların önüne geçebilir. Kullanıcıların bilinç seviyesinin artırılması da, saldırıların etkisini en aza indirmek açısından kritik bir öneme sahiptir.
