Vietnam merkezli bir siber suç grubunun, Google AppSheet platformunu "kimlik avı rölesi" olarak kullanarak gerçekleştirdiği devasa saldırı deşifre edildi. 30.000'den fazla Facebook Business hesabını hedef alan operasyonda, saldırganların sadece şifreleri değil, 2FA kodlarını ve resmi kimlik belgelerini de Telegram botları üzerinden anlık olarak çaldığı ortaya çıktı.

AccountDumpling Operasyonu: 30.000 Hesap "Phishing Relay" ile Düştü

Siber güvenlik dünyası, **SiberOdak** radarına takılan devasa bir sızıntıyla sarsılıyor. Vietnam merkezli olduğu tespit edilen bir siber suç örgütü, Google'ın meşru AppSheet platformunu bir "kimlik avı rölesi" (phishing relay) olarak kullanarak yaklaşık 30.000 Facebook Business hesabını ele geçirdi.

Saldırının başarısı, klasik spam filtrelerini aşmak için Google’ın güvenilir altyapısını istismar etmesinden kaynaklanıyor. [email protected] adresinden gelen e-postalar, SPF ve DKIM gibi güvenlik protokollerini doğrudan geçtiği için doğrudan kullanıcıların gelen kutusuna ulaşıyor.

Saldırının Anatomisi: 4 Katmanlı "Meta-Panik" Tuzağı

Araştırmalarımız, saldırganların kurbanları manipüle etmek için dört farklı psikolojik ve teknik küme kullandığını ortaya koyuyor:

  • Politika İhlali Kümesi: Netlify üzerinden barındırılan sahte yardım merkezleri ile "hesabınız kalıcı olarak kapatılacak" uyarısı yapılır.
  • Mavi Rozet Aldatmacası: Vercel altyapısını kullanarak kullanıcılara ücretsiz doğrulama vaat edilir.
  • Canva-PDF Yöntemi: Google Drive üzerinden iletilen PDF'ler, 2FA kodlarını ve tarayıcı ekran görüntülerini (html2canvas kütüphanesi ile) çalmak için tasarlanmıştır.
  • Yapay Zeka İş Teklifleri: Meta veya Apple gibi dev şirketlerden gelmiş gibi görünen sahte kıdemli pozisyon teklifleriyle sosyal mühendislik yapılır.
Teknik Detay: Operasyonun kalbinde, çalınan verileri anlık olarak saldırganlara ileten **Telegram C2 (Komuta Kontrol)** botları bulunuyor. Bu botlar sadece şifreleri değil, doğum tarihlerini ve devlet tarafından verilen kimlik fotoğraflarını da topluyor.

Analiz Tablosu: AccountDumpling vs. Geleneksel Phishing

Bu operasyonu siber suç ekosisteminde farklı kılan temel farklar aşağıda özetlenmiştir:

Özellik Klasik Phishing AccountDumpling (2026)
Dağıtım Kanalı Sahte/Bot Domainler Google AppSheet ([email protected])
Veri Çıkışı (Exfiltration) PHP Mail/Sıradan Sunucu Real-time Telegram Bot Kanalları
Hedef Kitle Genel Kullanıcılar Facebook Business & Reklam Yöneticileri
Hırsızlık Kapsamı Sadece Kullanıcı Adı/Şifre 2FA Kodları + Kimlik Belgesi + Ekran Görüntüsü

Operasyonel Hata: PHẠM TÀI TÂN Deşifre Oldu

Siber saldırganlar ne kadar gelişmiş olursa olsun, operasyonel güvenlik (OPSEC) hataları kaçınılmazdır. Guardio Labs araştırmacıları, Canva ile oluşturulan PDF dökümanlarının meta verilerini incelediğinde saldırganın gerçek kimliğine dair izler buldu. Dosyaların yazarı olarak görünen "PHẠM TÀI TÂN" isminin, Vietnam'da Facebook hesap kurtarma hizmetleri sunan bir iş profiliyle örtüştüğü belirlendi.

Bu durum, saldırganların bir "döngüsel suç ekonomisi" yarattığını gösteriyor: Önce hesabı çalıyorlar, sonra aynı hesabı geri almak isteyen mağdurlara "kurtarma hizmeti" satmaya çalışıyorlar.

SiberOdak Analizi
"Platform İstismarı, Güvenlik Duvarlarının Yeni Kabusudur."

AccountDumpling operasyonu, siber suçluların artık "taklit etmek" yerine "misafir olmayı" tercih ettiğini gösteriyor. Google AppSheet gibi güvenilir SaaS platformlarını birer saldırı vektörüne dönüştürmek, kurumların E-posta Güvenlik Geçitlerini (SEG) etkisiz bırakıyor. 2026 siber savunma stratejilerinde, e-postanın hangi platformdan geldiği değil, içindeki HTML yapısının ve yönlendirdiği URL'lerin dinamik analizi (Browser Isolation gibi) en kritik savunma hattı olacaktır.

Siber istihbaratın derinlikleri için SiberOdak'ta kalın.