Google AppSheet jako przekaźnik phishingu. AccountDumpling i 30 tysięcy kont Facebooka

2026-05-01

TL;DR

Guardio Labs opisało kampanię AccountDumpling, w której napastnicy nadużyli Google AppSheet do wysyłania phishingu podszywającego się pod Meta i Facebook Business. Według badaczy przejętych mogło zostać ponad 30 tysięcy kont Facebooka.

Najważniejsze nie jest jednak samo hasło Google AppSheet. Najważniejsze jest to, że wiadomości nie były klasycznym spoofingiem, czyli prostym podszyciem się pod cudzą domenę. Przychodziły z legalnej infrastruktury Google AppSheet, z adresów takich jak noreply@appsheet.com, i mogły przechodzić kontrole SPF, DKIM oraz DMARC.

Innymi słowy: technicznie nadawca wyglądał dobrze, ale treść prowadziła do oszustwa.

To kolejny mocny przykład, że w 2026 roku phishing coraz częściej nie polega na podrabianiu wszystkiego od zera. Coraz częściej polega na nadużyciu prawdziwych platform, które użytkownicy i systemy bezpieczeństwa już uznają za zaufane.

O co chodzi w kampanii AccountDumpling

Według Guardio Labs, kampania AccountDumpling była wymierzona głównie w właścicieli, administratorów i operatorów kont Facebook Business. Wiadomości udawały komunikaty Meta Support i wykorzystywały typowe preteksty: naruszenie zasad, ryzyko trwałego wyłączenia konta, skargę copyright, weryfikację strony, blue badge albo alert o logowaniu.

Blue badge to znacznik weryfikacji konta, kojarzony z wiarygodnością profilu. Dla właściciela strony firmowej taka obietnica może brzmieć atrakcyjnie. Z drugiej strony komunikat o naruszeniu zasad albo blokadzie strony wywołuje presję. Oba warianty działają na tę samą potrzebę: szybko zabezpieczyć lub poprawić status konta.

Użytkownik miał kliknąć i odwołać się od rzekomej decyzji Meta albo potwierdzić dane strony. W praktyce trafiał do fałszywego procesu, którego celem było przejęcie loginu, hasła, kodów 2FA, danych odzyskiwania konta, a w części wariantów także zdjęć dokumentów tożsamości i zrzutów ekranu przeglądarki.

To nie był pojedynczy phishing kit. Guardio opisuje raczej żywy ekosystem: wiele wariantów przynęt, różne platformy hostingowe, panele operatorskie, Telegram jako kanał odbioru danych, elementy sterowania w czasie rzeczywistym i późniejszą monetyzację przejętych kont.

Dlaczego Google AppSheet było tak skutecznym przekaźnikiem

Google AppSheet to platforma no-code, czyli narzędzie do budowania prostych aplikacji i automatyzacji bez klasycznego programowania. W normalnej firmie może służyć do formularzy, workflow, powiadomień i prostych aplikacji wewnętrznych. Oficjalna dokumentacja Google AppSheet opisuje możliwość wysyłania wiadomości e-mail z automatyzacji, a w dokumentacji dotyczącej diagnostyki e-maili Google wskazuje noreply@appsheet.com jako nadawcę takich wiadomości.

W normalnym użyciu to wygodna funkcja biznesowa. W rękach napastnika staje się jednak idealnym przekaźnikiem phishingu. Wiadomość pochodzi z legalnej infrastruktury, przechodzi standardowe kontrole techniczne i nie wygląda jak typowy spam z podejrzanego serwera.

To bardzo ważna lekcja. SPF, DKIM i DMARC odpowiadają na pytanie, czy dana platforma faktycznie wysłała wiadomość. Nie odpowiadają na pytanie, czy treść tej wiadomości jest uczciwa.

Ten sam problem opisywaliśmy już przy innych kampaniach nadużywających legalnych usług, na przykład w tekście n8n jako cichy nośnik phishingu i malware oraz Kuse.ai jako nośnik phishingu. W każdym przypadku legalna platforma staje się pierwszą warstwą zaufania.

Cztery scenariusze, jeden cel: przejąć konto Facebooka

Guardio wyróżniło cztery główne klastry aktywności. Każdy miał inny pretekst i inną ścieżkę, ale wszystkie prowadziły do tego samego celu: przejęcia kont mających realną wartość biznesową.

Klaster 1: strach przed blokadą strony

Pierwszy klaster używał fałszywych stron Facebook Help Center hostowanych na Netlify. Netlify to legalna platforma do hostowania stron i aplikacji webowych. Dla programistów jest wygodnym narzędziem publikacji stron. Dla przestępców może być szybkim sposobem postawienia wiarygodnie wyglądającej strony phishingowej.

Ofiary dostawały komunikaty o naruszeniu zasad, DMCA, znakach towarowych albo ryzyku trwałego usunięcia konta. DMCA to amerykańska ustawa dotycząca praw autorskich, często wykorzystywana jako pretekst w fałszywych zgłoszeniach. Dla administratora strony firmowej taki komunikat brzmi poważnie, bo może oznaczać utratę kanału sprzedaży, reklamy i kontaktu z klientami.

Strony zbierały nie tylko login i hasło, ale też datę urodzenia, numer telefonu i zdjęcia dokumentów tożsamości. To nie była już zwykła kradzież hasła. To było zbieranie całego pakietu danych potrzebnych do przejęcia i utrzymania kontroli nad kontem.

Klaster 2: obietnica blue badge

Drugi klaster zmieniał emocję z lęku na nagrodę. Zamiast straszyć blokadą, obiecywał blue badge, weryfikację albo korzyści reklamowe.

Strony hostowane na Vercel prowadziły użytkownika przez fałszywe CAPTCHA, formularze biznesowe, kolejne próby podania hasła i kody 2FA. Vercel, podobnie jak Netlify, jest legalną platformą do publikowania aplikacji webowych. Sama platforma nie jest problemem. Problem zaczyna się wtedy, gdy jej reputacja i łatwość publikacji zostają wykorzystane do oszustwa.

W tym wariancie atakujący nie musiał krzyczeć, że konto zostanie usunięte. Wystarczyło dać obietnicę czegoś wartościowego: weryfikacji, większej wiarygodności i lepszego statusu strony.

Klaster 3: Google Drive, PDF i operator na żywo

Trzeci klaster był najbardziej zaawansowany. Link prowadził do PDF-a hostowanego na Google Drive. Dokument był przygotowany w Canvie i wyglądał jak instrukcja albo oficjalne powiadomienie Meta. Canva to popularne narzędzie do tworzenia grafik i dokumentów, więc taki plik nie musi wyglądać podejrzanie na pierwszy rzut oka.

Wewnątrz PDF-a znajdował się link prowadzący do panelu phishingowego z obsługą WebSocket. WebSocket to mechanizm stałej komunikacji między przeglądarką a serwerem. W legalnych aplikacjach służy na przykład do czatów, powiadomień i aktualizacji w czasie rzeczywistym. W tej kampanii pozwalał operatorowi reagować na działania ofiary niemal na żywo.

Guardio opisało także użycie html2canvas. To biblioteka JavaScript, która potrafi zrobić zrzut wyglądu strony w przeglądarce. W rękach atakującego może służyć do zebrania dodatkowego kontekstu o ofierze, na przykład tego, co widzi w danym momencie na ekranie.

Ten wariant pokazuje, że phishing przestaje być statycznym formularzem. Coraz częściej przypomina rozmowę z operatorem po drugiej stronie, który widzi postęp ofiary i steruje kolejnymi ekranami.

Klaster 4: fałszywa rekrutacja

Czwarty klaster szedł w kierunku fałszywych ofert pracy. Wiadomości podszywały się pod rekruterów marek takich jak Meta, WhatsApp, Adobe, Pinterest, Apple czy Coca-Cola i próbowały przenieść rozmowę poza skrzynkę.

To mniej techniczny wariant, ale nadal bardzo skuteczny. Zamiast natychmiast kraść dane, buduje relację. Ofiara nie ma kliknąć w panice. Ma uwierzyć, że rozmawia z realnym rekruterem albo przedstawicielem znanej marki. Potem atak może przenieść się do komunikatora, rozmowy telefonicznej, formularza albo fałszywego procesu rekrutacyjnego.

Właśnie dlatego phishing trzeba rozumieć szerzej niż jako link w mailu. Czasem pierwsza wiadomość jest tylko początkiem kontaktu.

Meta panic działa, bo administrator strony reaguje szybciej niż zwykły użytkownik

W kampanii AccountDumpling szczególnie ważny jest dobór celu. Administrator strony firmowej albo konta reklamowego Meta często reaguje inaczej niż zwykły użytkownik prywatny. Dla niego utrata strony, fanpage’a, konta reklamowego albo dostępu do Business Managera może oznaczać realne straty: zatrzymanie kampanii, utratę leadów, utratę komunikacji z klientami albo ryzyko przejęcia marki.

Business Manager Meta, obecnie część szerszego środowiska Meta Business, służy do zarządzania stronami, kontami reklamowymi, uprawnieniami, pikselami, katalogami produktów i dostępami agencji. To nie jest tylko panel marketingowy. Dla wielu firm to centrum sprzedaży i reklamy.

Dlatego komunikat o trwałym usunięciu strony albo naruszeniu zasad działa bardzo mocno. Odbiorca nie myśli wtedy spokojnie o strukturze linku. Myśli o tym, że musi szybko uratować konto.

Ten sam mechanizm opisywaliśmy w materiale Phishing Meta: nowe funkcje strony firmowej jako przynęta. W obu przypadkach przestępcy wykorzystują fakt, że konto firmowe w mediach społecznościowych jest dziś zasobem biznesowym, a nie tylko profilem marketingowym.

To nie jest tylko kradzież konta. To ekonomia dostępu

Najciekawszy fragment analizy Guardio dotyczy tego, co dzieje się po przejęciu kont. Badacze opisują ekosystem, w którym skradziony dostęp jest dalej monetyzowany, odsprzedawany albo używany do kolejnych nadużyć. Przejęte konto Facebooka może posłużyć do fałszywych reklam, oszustw wobec klientów, wyłudzeń, podszywania się pod markę, a nawet do dalszego phishingu.

Właśnie dlatego AccountDumpling nie wygląda jak pojedyncza kampania. Bardziej przypomina łańcuch dostaw. AppSheet dostarcza wiadomość. Netlify, Vercel albo Google Drive hostują kolejne elementy. Telegram odbiera dane. Operatorzy przejmują konta. A na końcu konto staje się towarem.

Telegram to popularny komunikator, który w środowiskach cyberprzestępczych bywa używany jako kanał powiadomień, sprzedaży i odbioru danych. W kampaniach phishingowych często działa jak prosty panel odbiorczy: operator dostaje login, hasło, kod 2FA albo dane ofiary niemal od razu po ich wpisaniu.

To bardzo dobrze łączy się z tekstem Industrializacja phishingu. Jak model PhaaS zamienia pojedynczy atak w pipeline oszustwa. Nowoczesny phishing nie kończy się na kliknięciu. Kliknięcie jest tylko początkiem procesu monetyzacji.

Dlaczego poprawna autoryzacja e-maila nie wystarcza

Wiele firm uczy użytkowników, żeby sprawdzali nadawcę. To nadal ma sens, ale ten case pokazuje ograniczenie takiej rady. Wiadomość może przyjść z prawdziwego systemu, a mimo to prowadzić do oszustwa.

Guardio dobrze podsumowuje ten problem: w tym scenariuszu poprawny wynik SPF, DKIM i DMARC potwierdzał tylko, że wiadomość została wysłana przez właściwą platformę. Nie potwierdzał, że treść pochodzi od Meta albo że link jest bezpieczny.

SPF pomaga sprawdzić, czy dany serwer ma prawo wysyłać pocztę w imieniu domeny. DKIM dodaje podpis kryptograficzny do wiadomości. DMARC łączy te mechanizmy i pozwala domenie określić, co zrobić z wiadomościami, które nie spełniają zasad. To bardzo ważne zabezpieczenia, ale nie są czytnikiem intencji.

To jedna z najważniejszych zmian w phishingu. Dawniej wiele kampanii można było odsiać po złej domenie nadawcy, dziwnym serwerze albo braku zgodności SPF. Dziś napastnik coraz częściej wykorzystuje platformę, która te testy przechodzi poprawnie.

Dlatego awareness musi iść krok dalej. Użytkownik powinien pytać nie tylko kto technicznie wysłał wiadomość, ale też czy ten proces ma sens. Czy Meta naprawdę użyłaby AppSheet do ostrzeżenia o naruszeniu zasad strony. Czy panel odwołania powinien prowadzić przez Netlify, Vercel albo Google Drive. Czy prośba o dokument tożsamości, kody 2FA i zrzut ekranu przeglądarki jest adekwatna do sytuacji.

Dlaczego 2FA nie rozwiązuje tu całego problemu

W części wariantów kampanii phishing zbierał także kody 2FA w czasie rzeczywistym. 2FA, czyli uwierzytelnianie dwuskładnikowe, nadal jest bardzo ważne. Problem zaczyna się wtedy, gdy użytkownik wpisuje kod na fałszywej stronie, a operator natychmiast używa go po drugiej stronie.

Wtedy 2FA nie znika z procesu. Staje się kolejnym elementem, który atakujący próbuje przechwycić.

To nie znaczy, że 2FA jest niepotrzebne. Wręcz przeciwnie, nadal podnosi próg ataku. Ale nie wolno traktować go jako usprawiedliwienia dla logowania się z dowolnego linku.

Ten problem szerzej opisujemy w materiale Phishing omijający MFA AiTM. Wspólny wniosek jest prosty: chronić trzeba nie tylko hasło, ale cały workflow logowania.

Dlaczego to nie jest problem tylko Facebooka

AccountDumpling dotyczy Meta, ale sam model można przenieść na inne platformy. Zamiast AppSheet może pojawić się inna legalna usługa automatyzacji. Zamiast Facebook Business może być Google Workspace, Microsoft 365, LinkedIn, marketplace, panel reklamowy, system płatności albo system do obsługi klientów.

Wspólny mechanizm zostaje ten sam: legalny przekaźnik, wiarygodny pretekst, presja czasu i prośba o logowanie.

To dlatego tego typu kampanii nie warto czytać jako ciekawostki o Facebooku. To raczej lekcja o tym, jak przestępcy wykorzystują zaufanie do platform, na których firmy pracują każdego dnia.

Dlaczego ten temat jest ważny dla polskich firm

Na pierwszy rzut oka to globalna kampania wymierzona w Facebook Business. W praktyce dotyczy także firm w Polsce, bo wiele organizacji używa Facebooka i Instagrama jako kanału sprzedaży, obsługi klienta, reklamy i budowania marki.

Przejęcie konta Meta może być dla małej lub średniej firmy realnym incydentem biznesowym. Napastnik może przejąć komunikację z klientami, uruchomić fałszywe reklamy, zmienić dane strony, podszyć się pod firmę albo wyłudzić pieniądze od obserwujących.

Co więcej, takie konta często są administrowane przez kilka osób: właściciela, marketing, agencję, freelancera albo dział sprzedaży. To zwiększa powierzchnię ataku. Wystarczy jedna osoba, która uwierzy w pilny komunikat od rzekomego Meta Support.

Co powinno zapalić lampkę ostrzegawczą

Najważniejszy sygnał ostrzegawczy to wiadomość od rzekomego Meta Support wysłana kanałem, który nie jest naturalnym kanałem komunikacji Meta z właścicielami stron. W tym przypadku była to domena AppSheet, czyli legalna platforma Google, ale nie oficjalny panel Meta.

Podejrzane są też wszystkie komunikaty, które informują o trwałym usunięciu konta w ciągu 24 godzin, proszą o szybkie odwołanie przez link, prowadzą do Netlify, Vercel, Google Drive albo innych zewnętrznych platform, żądają kodów 2FA, proszą o zdjęcie dokumentu tożsamości, wymagają zrzutu ekranu przeglądarki albo przenoszą rozmowę do kanału poza oficjalnym centrum pomocy Meta.

To nie są drobne anomalie. To czerwone flagi.

Najprostsza zasada brzmi: jeśli wiadomość wywołuje panikę wokół konta Meta, nie klikaj w link. Wejdź samodzielnie do oficjalnego panelu Meta Business Suite, Business Managera albo Menedżera reklam i sprawdź, czy problem rzeczywiście istnieje.

Co zrobić, jeśli ktoś kliknął

Jeżeli użytkownik kliknął link, ale nie podał danych, powinien zamknąć stronę i zgłosić wiadomość do osoby odpowiedzialnej za bezpieczeństwo lub administrację konta. Jeśli podał login, hasło albo kod 2FA, trzeba działać szybko.

Najważniejsze kroki to zmiana hasła do konta Facebook i powiązanego e-maila, wylogowanie wszystkich aktywnych sesji, sprawdzenie administratorów strony i Business Managera, usunięcie nieznanych użytkowników oraz integracji, sprawdzenie historii reklam i płatności, przegląd ustawień 2FA oraz kontrola, czy nie dodano nowych metod odzyskiwania konta.

W przypadku kont firmowych warto też sprawdzić, czy nie doszło do zmian w kampaniach reklamowych, pixelach, metodach płatności albo uprawnieniach agencji. Warto rozpocząć procedurę odzyskiwania przez oficjalne kanały Meta Business Help Center, ale bez korzystania z linku otrzymanego w podejrzanej wiadomości.

Jeśli konto jest wykorzystywane do reklam, trzeba również przejrzeć limity wydatków, aktywne kampanie, podpięte karty płatnicze i role użytkowników.

Co firmy powinny zrobić praktycznie

Po pierwsze, osoby zarządzające Facebookiem, Instagramem i reklamami Meta powinny mieć osobne szkolenie z tego typu scenariuszy. Nie wystarczy ogólne szkolenie z phishingu. Administrator strony firmowej ma inną presję i inne ryzyko niż zwykły użytkownik poczty.

Po drugie, dostęp do kont firmowych powinien być nadawany minimalnie. Nie każda osoba obsługująca social media potrzebuje pełnych uprawnień administracyjnych. Zasada najmniejszych uprawnień ma tu takie samo znaczenie jak w systemach IT.

Po trzecie, firma powinna utrzymywać listę aktualnych administratorów, agencji i osób z dostępem. W wielu organizacjach problem zaczyna się wtedy, gdy nikt już nie wie, kto ma prawa do strony.

Po czwarte, trzeba przyjąć prostą zasadę: komunikaty o naruszeniu zasad, blokadzie konta lub weryfikacji strony sprawdzamy bezpośrednio w oficjalnym panelu Meta, a nie z linku w mailu.

Po piąte, warto przygotować krótką procedurę awaryjną dla marketingu i zarządu: kto reaguje, kto zmienia hasła, kto usuwa sesje, kto sprawdza płatności, kto kontaktuje się z Meta i kto informuje agencję lub partnerów.

Legalny nadawca nie oznacza bezpiecznej wiadomości

AccountDumpling pokazuje jedną z najważniejszych prawd o współczesnym phishingu: zaufana platforma nie oznacza zaufanej treści. Wiadomość może być wysłana przez Google AppSheet, przejść SPF, DKIM i DMARC, wyglądać technicznie poprawnie, a mimo to prowadzić do przejęcia konta.

Dla firm to szczególnie ważne w kontekście kont Meta. Facebook Business, strony firmowe i konta reklamowe mają dziś realną wartość finansową. Dla przestępców są towarem, infrastrukturą reklamową, narzędziem podszycia się pod markę i punktem wejścia do kolejnych oszustw.

Najważniejsza zasada pozostaje prosta: jeśli wiadomość wywołuje panikę wokół konta Meta, nie reaguj z poziomu linku. Wejdź samodzielnie do oficjalnego panelu i dopiero tam sprawdź, czy problem naprawdę istnieje.

Jeżeli chcesz sprawdzić, czy Twoi użytkownicy wychwyciliby taki scenariusz zanim podadzą dane albo kod 2FA, dobrym początkiem jest quiz phishingowy PHISHLY.