000 Facebook-Geschäftskonten** kompromittiert. Die Angreifer nutzen dabei eine vertrauenswürdige Google-Plattform, um Sicherheitsfilter zu umgehen.
Sicherheitsforscher von Guardio Labs haben die Operation namens AccountDumpling aufgedeckt. Das Besondere: Die Täter missbrauchen Googles No-Code-Entwicklungsplattform AppSheet als Phishing-Relais. Indem die betrügerischen E-Mails über legitime Google-Server versendet werden, tragen sie gültige Authentifizierungssignaturen wie SPF, DKIM und DMARC. Das Ergebnis: Die Nachrichten landen direkt im Posteingang der Opfer – und nicht im Spam-Ordner.
Rekord-Schäden durch Phishing zeigen, wie wichtig eine gezielte Prävention für Unternehmen ist. Experten erklären im kostenlosen Anti-Phishing-Paket, wie Sie psychologische Manipulationstaktiken entlarven und Ihr Unternehmen wirksam vor Cyberkriminalität schützen. Kostenloses Anti-Phishing-Paket jetzt herunterladen
Wie die Angreifer das Vertrauen in Google ausnutzen
Die Wirksamkeit der Kampagne beruht auf einem einfachen Prinzip: E-Mails von noreply@appsheet.com und anderen Google-Domains genießen automatisch einen hohen Vertrauensstatus. Sicherheitsgateways stufen sie als legitim ein, weil sie von Googles eigener Infrastruktur stammen.
Die Angreifer zielen gezielt auf Administratoren von Facebook-Seiten und Werbekonten ab – denn diese Profile sind mit Kreditkarten verknüpft und bieten Zugang zu großen Zielgruppen. Die Phishing-Nachrichten erzeugen künstliche Dringlichkeit: Sie tarnen sich als kritische Warnungen von Meta Support. Typische Vorwände sind angebliche Urheberrechtsverletzungen, drohende Kontolöschungen oder erforderliche Überprüfungen.
In einem dokumentierten Fall aus April 2026 erhielten Opfer eine Nachricht mit einer konkreten Fallnummer und einer 24-Stunden-Frist vor der permanenten Kontosperrung. Ergänzt wird das Repertoire durch Social-Engineering-Tricks wie „Blue Badge“-Verifizierungsangebote oder gefälschte Personalanfragen von Apple, Coca-Cola und Adobe.
Ein modulares Verbrecher-Ökosystem mit Vietnam-Verbindung
Die technische Infrastruktur der Kampagne ist komplex und widerstandsfähig. Forscher identifizierten vier separate Aktivitätscluster, die unterschiedliche Hosting-Plattformen und Methoden zur Datenexfiltration nutzen. Die Täter betreiben gefälschte Facebook-Hilfeseiten unter anderem auf Netlify und Vercel.
Forensische Untersuchungen von PDF-Dokumenten aus der Phishing-Kette enthüllten Metadaten, die auf einen bestimmten Autor in Vietnam verweisen. Der Name ist mit einem digitalen Marketing- und Account-Recovery-Unternehmen in der Region verknüpft. Die gestohlenen Daten – darunter Anmeldedaten, Zwei-Faktor-Authentifizierungscodes und Ausweisfotos – werden an automatisierte Telegram-Bots weitergeleitet.
Die Monetarisierung folgt einem klaren Schema: Die gekaperten Profile werden über illegale Marktplätze verkauft. Die Käufer nutzen sie für weiteren Betrug, Identitätsdiebstahl oder die Verbreitung von Desinformation. In einigen Fällen boten die Angreifer den ursprünglichen Besitzern den Rückkauf ihrer Konten an – getarnt als spezialisierte Wiederherstellungsdienste.
Echtzeit-Abfangjagd und ausgefeilte Techniken
Besonders alarmierend: Die Angreifer nutzen Live-Operator-Panels. Ein Cluster setzte Google-Drive-Dokumente und WebSocket-Verbindungen ein, um in Echtzeit mit den Opfern zu interagieren. Während die Opfer versuchten, sich auf den gefälschten Seiten anzumelden, forderten die Täter parallel die 2FA-Codes an.
Um automatische Erkennungssysteme zu umgehen, verwenden die Angreifer „Zero-Font“-Taktiken und Unicode-Tricks – etwa kyrillische Homoglyphen, die für Softwarefilter anders lesbar sind als für das menschliche Auge. Jedes Opfer erhält zudem eine eindeutige Subdomain, sodass eine einzelne Blocklist-Eintragung nicht die gesamte Infrastruktur lahmlegt.
Die geografische Verteilung der Opfer zeigt eine klare Konzentration: 68 Prozent der kompromittierten Nutzer sitzen in den USA, gefolgt von Italien, Kanada, Großbritannien und Indien.
Reaktionen und Schutzmaßnahmen
Google und Meta haben auf die Enthüllungen reagiert. Google betont in einem Sicherheitshinweis die Bedeutung der Überprüfung von E-Mail-Absendern und bestätigt, dass die Plattform aktiv auf Missbrauch überwacht wird. Facebook rät Geschäftskunden, regelmäßig aktive Sitzungen zu prüfen und unbekannte Drittanbieter-Anwendungen zu entfernen.
Sicherheitsexperten sehen in der Kampagne einen trend zum „Living off the Land“ in Cloud-Diensten: Die Angreifer nutzen genau die Tools, die für Geschäftsautomatisierung gedacht sind, für ihre kriminellen Zwecke. Das macht es für automatisierte Systeme nahezu unmöglich, zwischen legitimer Geschäftsaktivität und bösartigen Handlungen zu unterscheiden.
Da Cyberkriminelle gezielt Unternehmen ins Visier nehmen, ist proaktiver Schutz wichtiger denn je. Dieses kostenlose E-Book zeigt IT-Verantwortlichen, wie sie aktuelle Bedrohungen abwenden und Sicherheitslücken ohne hohes Budget schließen. Gratis Cyber-Security-Leitfaden für Unternehmen anfordern
Organisationen sollten dringend robustere Validierungsprozesse für Facebook-Wiederherstellungsabläufe implementieren. Und: Auch E-Mails von vertrauenswürdigen Cloud-Plattformen verdienen eine gesunde Skepsis – besonders bei dringenden Anfragen nach sensiblen Daten. Sicherheitsteams wird empfohlen, ausgehenden Traffic zu bekannten Telegram-Bot-API-Endpunkten zu überwachen.
Ausblick: Die nächste Welle kommt bestimmt
Die AccountDumpling-Operation zeigt eine anhaltende Schwachstelle im Social-Media-Business-Ökosystem auf. Je zentraler Plattformen wie Facebook für den globalen Handel werden, desto wertvoller sind die Zugänge – und desto organisierter die kriminellen Gruppen, die sie stehlen wollen.
Branchenexperten erwarten, dass ähnliche Kampagnen, die No-Code- und Low-Code-Plattformen missbrauchen, zunehmen werden. Die Entdeckung von 30.000 kompromittierten Konten ist ein Weckruf: Selbst die sichersten Umgebungen können unterwandert werden, wenn das „menschliche Element“ über vertrauenswürdige Kanäle angegriffen wird. Die laufenden Bemühungen der Sicherheitsforscher, die vietnamesischen Netzwerke weiter zu kartieren, könnten zu weiteren Erfolgen führen – doch die modulare Infrastruktur lässt erwarten, dass die Bedrohung sich in den kommenden Monaten weiterentwickeln wird.
