Google’ın mobil ve web uygulamaları için sunduğu AppSheet platformu, siber suçluların yeni hedefi hâline geldi. KnowBe4 tarafından paylaşılan son verilere göre, saldırganlar bu platform üzerinden sahte e-postalar göndererek kullanıcıların Facebook bilgilerini toplamaya çalışıyor. E-postalar, Google tarafından gönderilmiş izlenimi veren “[email protected]” adresinden iletiliyor. Bu sayede birçok kurumsal e-posta filtreleme sistemi aşılabiliyor.
Saldırganların gönderdiği içeriklerde, alıcılara Facebook hesaplarının telif hakkı ihlali gerekçesiyle 24 saat içinde kapatılacağı bildiriliyor. Bu mesajın hemen altında ise kullanıcıların hesabını kurtarması için sözde bir “İtiraz Gönder” bağlantısı yer alıyor. Bu bağlantıya tıklayanlar, Facebook’un giriş sayfasını taklit eden sahte bir siteye yönlendiriliyor. Söz konusu site Vercel üzerinde barındırılıyor ve bu durum saldırının güvenilirliğini artırıyor.
Gönderilen e-postalarda yer alan bağlantılar, alıcıyı doğrudan kimlik bilgilerini ve iki faktörlü doğrulama (2FA) kodlarını girmeye yönlendiriyor. Kullanıcı bu bilgileri paylaştığında, saldırganlar bu verileri gerçek zamanlı olarak kullanıyor. Facebook’a yapılan sahte giriş girişiminde önce yanlış şifre uyarısı gösteriliyor. Bu adım, girilen bilgilerin doğruluğunu test etmeye yönelik kullanılıyor.
Sahte Facebook uyarılarıyla oluşturulan senaryolar kullanıcıyı tuzağa düşürüyor
Saldırganların kullandığı AppSheet tabanlı otomasyon sayesinde, her e-postaya benzersiz bir kimlik numarası ekleniyor. Bu yöntem, e-postaların aynı içerikte görünmesini engelleyerek algılama sistemlerinden kaçmasına yardımcı oluyor. Aynı zamanda e-postaların geldiği adresin Google’a ait olması, kullanıcılarda şüphe uyandırmıyor. Bu nedenle birçok kullanıcı söz konusu mesajlara güven duyabiliyor.
E-postalar, Microsoft 365 ve diğer güvenlik katmanlarını atlatmayı başarıyor. AppSheet üzerinden gönderilen e-postalar, DMARC, DKIM ve SPF gibi kimlik doğrulama denetimlerinden geçebildiği için kurumsal e-posta ağlarında da doğrudan gelen kutusuna düşüyor. Bunun sonucunda saldırganların iletileri, birçok kullanıcıya kolaylıkla ulaşıyor. Bu yöntem, geleneksel kimlik avı tekniklerinden daha etkili hâle geliyor.
KnowBe4’ün elde ettiği bilgilere göre, bu yöntemle gönderilen sahte e-postaların büyük bölümü Facebook markasını taklit ediyor. Yalnızca 20 Nisan 2025 tarihinde, AppSheet üzerinden gönderilen kimlik avı e-postalarının yüzde 98’inden fazlası Meta adına hazırlanmıştı. Her ne kadar kullanılan e-posta adresi Google’a ait olsa da, içerik tamamen sahte bilgilerle dolu. Bu tür eylemler, platformların açıklarını kötüye kullanan bir yapı oluşturuyor.
Vercel üzerinde barındırılan sahte Facebook sayfası, kullanıcıdan giriş bilgileri ve 2FA kodu istiyor. Bu veriler doğrudan saldırganların kontrolündeki bir sisteme iletiliyor. Ardından elde edilen 2FA kodları anında Facebook’a gönderiliyor ve saldırganlar geçerli oturum belirteci alıyor. Bu belirteçler, şifre değişse dahi hesaba erişimin devam etmesini sağlıyor.
Saldırının karmaşık yapısı, AppSheet’in kötüye kullanımıyla birleştiğinde tespit edilmesini zorlaştırıyor. Özellikle e-posta filtreleme sistemlerinin domain doğrulama temelli çalışması, bu tür saldırılarda etkisiz kalıyor. Kullanıcılardan gelen şikâyetler ise genellikle geç fark ediliyor. Bu durum, saldırganlara daha geniş bir etki alanı sağlıyor.
Kullanıcıların bu tür saldırılardan korunmak için e-posta adreslerini, içerik bağlantılarını ve yönlendirildiği siteleri dikkatle kontrol etmesi gerekiyor. Ayrıca iki faktörlü doğrulama sistemlerinin kullanılması önemli olmakla birlikte, bu sistemlerin tek başına yeterli koruma sağlamadığı da bir kez daha görülüyor. Kurumsal düzeyde güvenlik çözümlerinin güncel tutulması, bu tür saldırıların önlenmesinde belirleyici olabilir.
Tüm bunların yanında, AppSheet gibi platformların kötüye kullanımını engelleyecek yeni kontrol mekanizmalarının devreye alınması bekleniyor. Özellikle e-posta gönderimlerine ilişkin sınırlandırmalar, benzer vakaların önüne geçebilir. Kullanıcıların bilinç düzeyinin artırılması da, saldırıların etkisini en aza indirme açısından kritik bir adım olarak öne çıkıyor.
