Guardio — американская компания, специализирующаяся на кибербезопасности — раскрыла масштабную фишинговую операцию, которой присвоили кодовое название AccountDumpling. В ходе расследования выяснилось, что злоумышленники скомпрометировали около 30 000 аккаунтов Ф⃰, причём жертвы обнаруживаются в десяти странах мира: США, Италии, Канаде, Филиппинах, Индии, Испании, Австралии, Великобритании, Бразилии и Мексике. Всё это происходило при помощи совершенно легального инструмента — Google AppSheet, который послужил ретранслятором вредоносных писем. Именно через него фишинговые сообщения уходили напрямую в почтовые ящики, минуя спам-фильтры, потому что технически отправителем выступал доверенный Google-сервис.
Атака начиналась с письма якобы от «М⃰ Support». Текст вызывал у получателя нечто вроде паники: аккаунт вот-вот будет навсегда заблокирован из-за нарушения авторских прав или проблем с верификацией, нужно срочно подать апелляцию. Эта механика хорошо знакома специалистам — искусственно созданная срочность отключает критическое мышление. Темы писем варьировались: отключение аккаунта, жалобы на нарушение авторских прав, проверка подлинности страницы, предложения о работе в крупных компаниях, уведомления о входе с нового устройства.
Аналитик Guardio Шакед Чен описал то, что они обнаружили, предельно ясно: «Это была не одна фишинговая страница. Это живая операция с панелями управления в реальном времени, продвинутыми методами обхода защиты, непрерывной эволюцией и криминально-коммерческой петлёй, которая тихо питается теми же аккаунтами, которые помогает красть». Похожая кампания фиксировалась ещё в мае 2025 года — о ней сообщала компания KnowBe4, — но за последние несколько недель операция заметно трансформировалась.
Guardio выявила четыре отдельных кластера атаки, каждый со своей инфраструктурой. Первый кластер использовал поддельные центры поддержки, размещённые на Netlify. Жертва попадала на страницу, имитирующую службу помощи Ф⃰, и в итоге отдавала дату рождения, номер телефона и фотографии удостоверений личности. Все эти данные уходили прямиком в Telegram-каналы, контролируемые атакующими.
Второй кластер работал через Vercel. Здесь сценарий строился вокруг якобы проверки на получение синей галочки. Пользователя направляли на фиктивные страницы «Security Check» или «М⃰ Privacy Center», защищённые поддельной CAPTCHA. Применялась тактика «принудительного повтора» — даже если жертва вводила правильный пароль, система сообщала об ошибке, вынуждая вводить данные снова. Это позволяло захватить несколько вариантов паролей, а заодно коды двухфакторной аутентификации.
Третий кластер стал тем самым разоблачающим звеном. Жертве присылали PDF-файл с Google Drive — якобы инструкцию по верификации аккаунта. Документ был создан через бесплатный аккаунт Canva. В ходе OSINT-расследования Guardio извлекла метаданные этих файлов и обнаружила имя автора: PHẠM TÀI TÂN. Поиск по этому имени привёл к сайту phamtaitan[.]vn. Там без какой-либо конспирации рекламировались «услуги цифрового маркетинга, маркетинговые ресурсы и консультации по эффективным стратегиям цифрового продвижения». Публикация на X от февраля 2023 года подтверждала ту же деятельность. При открытии PDF в браузере скрипт на базе html2canvas делал скриншот экрана жертвы — дополнительный способ сбора данных помимо паролей, кодов 2FA и фотографий документов.
Четвёртый кластер прикидывался рекрутинговым агентством. Письма имитировали предложения о работе от WhatsApp, Apple, Coca-Cola, Adobe, Pinterest и других брендов. Цель — установить контакт и убедить жертву перейти на сайт, подконтрольный злоумышленникам, или присоединиться к звонку.
Чен особо подчеркнул, что перед нами не разрозненные инциденты, а системная операция: «Взятые вместе, они складываются в последовательную картину масштабной операции вьетнамского происхождения. Эта кампания куда больше, чем единичное злоупотребление AppSheet». В трёх Telegram-каналах, связанных с кластерами 1, 2 и 3, на момент расследования хранились записи примерно о 30 000 жертвах.
Украденные аккаунты не просто перепродавались на теневых форумах. Вся система работала как замкнутый криминальный бизнес: операторы накапливали доступ к бизнес-страницам Ф⃰, рекламным кабинетам и верифицированным аккаунтам, а потом торговали этим через собственный нелегальный магазин. По словам Чена, это «окно в чёрный рынок вокруг похищенных активов Ф⃰, где доступ, бизнес-идентичность, рекламная репутация и даже восстановление аккаунта превратились в торгуемые товары».
Паттерн, который прослеживается в AccountDumpling, не новый. Вьетнамские группировки уже давно освоили тактику использования доверенных платформ в качестве инфраструктуры: Google, Canva, Netlify, Vercel. Это делает традиционные методы фильтрации практически бесполезными, потому что с технической точки зрения письмо приходит от Google, страница хостится на Vercel, а PDF лежит на Google Drive. Ни один из этих сервисов сам по себе не является подозрительным.
Изображение носит иллюстративный характер
Атака начиналась с письма якобы от «М⃰ Support». Текст вызывал у получателя нечто вроде паники: аккаунт вот-вот будет навсегда заблокирован из-за нарушения авторских прав или проблем с верификацией, нужно срочно подать апелляцию. Эта механика хорошо знакома специалистам — искусственно созданная срочность отключает критическое мышление. Темы писем варьировались: отключение аккаунта, жалобы на нарушение авторских прав, проверка подлинности страницы, предложения о работе в крупных компаниях, уведомления о входе с нового устройства.
Аналитик Guardio Шакед Чен описал то, что они обнаружили, предельно ясно: «Это была не одна фишинговая страница. Это живая операция с панелями управления в реальном времени, продвинутыми методами обхода защиты, непрерывной эволюцией и криминально-коммерческой петлёй, которая тихо питается теми же аккаунтами, которые помогает красть». Похожая кампания фиксировалась ещё в мае 2025 года — о ней сообщала компания KnowBe4, — но за последние несколько недель операция заметно трансформировалась.
Guardio выявила четыре отдельных кластера атаки, каждый со своей инфраструктурой. Первый кластер использовал поддельные центры поддержки, размещённые на Netlify. Жертва попадала на страницу, имитирующую службу помощи Ф⃰, и в итоге отдавала дату рождения, номер телефона и фотографии удостоверений личности. Все эти данные уходили прямиком в Telegram-каналы, контролируемые атакующими.
Второй кластер работал через Vercel. Здесь сценарий строился вокруг якобы проверки на получение синей галочки. Пользователя направляли на фиктивные страницы «Security Check» или «М⃰ Privacy Center», защищённые поддельной CAPTCHA. Применялась тактика «принудительного повтора» — даже если жертва вводила правильный пароль, система сообщала об ошибке, вынуждая вводить данные снова. Это позволяло захватить несколько вариантов паролей, а заодно коды двухфакторной аутентификации.
Третий кластер стал тем самым разоблачающим звеном. Жертве присылали PDF-файл с Google Drive — якобы инструкцию по верификации аккаунта. Документ был создан через бесплатный аккаунт Canva. В ходе OSINT-расследования Guardio извлекла метаданные этих файлов и обнаружила имя автора: PHẠM TÀI TÂN. Поиск по этому имени привёл к сайту phamtaitan[.]vn. Там без какой-либо конспирации рекламировались «услуги цифрового маркетинга, маркетинговые ресурсы и консультации по эффективным стратегиям цифрового продвижения». Публикация на X от февраля 2023 года подтверждала ту же деятельность. При открытии PDF в браузере скрипт на базе html2canvas делал скриншот экрана жертвы — дополнительный способ сбора данных помимо паролей, кодов 2FA и фотографий документов.
Четвёртый кластер прикидывался рекрутинговым агентством. Письма имитировали предложения о работе от WhatsApp, Apple, Coca-Cola, Adobe, Pinterest и других брендов. Цель — установить контакт и убедить жертву перейти на сайт, подконтрольный злоумышленникам, или присоединиться к звонку.
Чен особо подчеркнул, что перед нами не разрозненные инциденты, а системная операция: «Взятые вместе, они складываются в последовательную картину масштабной операции вьетнамского происхождения. Эта кампания куда больше, чем единичное злоупотребление AppSheet». В трёх Telegram-каналах, связанных с кластерами 1, 2 и 3, на момент расследования хранились записи примерно о 30 000 жертвах.
Украденные аккаунты не просто перепродавались на теневых форумах. Вся система работала как замкнутый криминальный бизнес: операторы накапливали доступ к бизнес-страницам Ф⃰, рекламным кабинетам и верифицированным аккаунтам, а потом торговали этим через собственный нелегальный магазин. По словам Чена, это «окно в чёрный рынок вокруг похищенных активов Ф⃰, где доступ, бизнес-идентичность, рекламная репутация и даже восстановление аккаунта превратились в торгуемые товары».
Паттерн, который прослеживается в AccountDumpling, не новый. Вьетнамские группировки уже давно освоили тактику использования доверенных платформ в качестве инфраструктуры: Google, Canva, Netlify, Vercel. Это делает традиционные методы фильтрации практически бесполезными, потому что с технической точки зрения письмо приходит от Google, страница хостится на Vercel, а PDF лежит на Google Drive. Ни один из этих сервисов сам по себе не является подозрительным.
