Une vaste campagne de piratage Facebook vient d’être mise au jour par les chercheurs en cybersécurité de Guardio Labs. Baptisée « AccountDumpling », l’opération aurait permis à des cybercriminels vietnamiens de détourner environ 30 000 comptes Facebook dans plus de 50 pays, en exploitant… un outil officiel de Google.
L’attaque débute par un e-mail alarmant : le destinataire est informé que son compte Facebook aurait enfreint les règles de la plateforme (violation de droits d’auteur, suspension imminente, désactivation sous 24 heures). Pris de panique, l’utilisateur est invité à cliquer sur un lien pour « régulariser » sa situation.
Ce qui rend l’arnaque particulièrement dangereuse, c’est que ces e-mails parviennent à contourner les filtres anti-spam. Les pirates ont en effet exploité Google AppSheet, un service légitime permettant de créer des applications sans coder. Grâce à son système de notifications, les messages étaient envoyés depuis l’adresse officielle noreply@appsheet.com, via les serveurs de Google. Résultat : les e-mails étaient considérés comme fiables par les systèmes de sécurité.
En cliquant sur le lien, les victimes étaient redirigées vers une fausse page imitant parfaitement le Centre d’aide Facebook, hébergée sur la plateforme légitime Netlify. La page demandait alors les identifiants du compte, le mot de passe, mais aussi des informations sensibles comme la date de naissance, le numéro de téléphone et parfois des photos de pièce d’identité.
Dans certains cas, les pirates allaient plus loin en réclamant jusqu’à trois codes d’authentification à deux facteurs (2FA), rendant la prise de contrôle du compte quasi totale.
Autre variante : un PDF hébergé sur Google Drive, soigneusement présenté comme une notification officielle de Meta. À l’intérieur, un bouton dirigeait vers un panneau de contrôle frauduleux capable de récupérer en temps réel les identifiants et codes de sécurité.
Malgré la sophistication de l’opération, les cybercriminels ont commis une erreur majeure. Les chercheurs ont découvert que le PDF utilisé dans l’attaque contenait des métadonnées non supprimées. Celles-ci révélaient que le document avait été créé via Canva par un individu nommé Phạm Tài Tân. En recoupant les informations, Guardio Labs a pu identifier le suspect sur Facebook ainsi que sur son propre site web, où il proposait ironiquement des services d’« aide à la récupération de comptes Facebook ».
L’opération reposait sur un réseau de bots Telegram chargés de collecter et trier automatiquement les données volées avant de les transmettre aux pirates. L’analyse de quatre bots distincts a permis d’estimer à environ 30 000 le nombre de victimes, dont près de 69 % situées aux États-Unis.
Cette affaire illustre une nouvelle fois la sophistication croissante des campagnes de phishing, capables d’exploiter des services légitimes pour contourner les systèmes de sécurité. Elle rappelle aussi l’importance de la vigilance : ne jamais cliquer sur un lien reçu dans un e-mail alarmant et toujours vérifier directement depuis l’application officielle.
L’attaque débute par un e-mail alarmant : le destinataire est informé que son compte Facebook aurait enfreint les règles de la plateforme (violation de droits d’auteur, suspension imminente, désactivation sous 24 heures). Pris de panique, l’utilisateur est invité à cliquer sur un lien pour « régulariser » sa situation.
Ce qui rend l’arnaque particulièrement dangereuse, c’est que ces e-mails parviennent à contourner les filtres anti-spam. Les pirates ont en effet exploité Google AppSheet, un service légitime permettant de créer des applications sans coder. Grâce à son système de notifications, les messages étaient envoyés depuis l’adresse officielle noreply@appsheet.com, via les serveurs de Google. Résultat : les e-mails étaient considérés comme fiables par les systèmes de sécurité.
En cliquant sur le lien, les victimes étaient redirigées vers une fausse page imitant parfaitement le Centre d’aide Facebook, hébergée sur la plateforme légitime Netlify. La page demandait alors les identifiants du compte, le mot de passe, mais aussi des informations sensibles comme la date de naissance, le numéro de téléphone et parfois des photos de pièce d’identité.
Dans certains cas, les pirates allaient plus loin en réclamant jusqu’à trois codes d’authentification à deux facteurs (2FA), rendant la prise de contrôle du compte quasi totale.
Autre variante : un PDF hébergé sur Google Drive, soigneusement présenté comme une notification officielle de Meta. À l’intérieur, un bouton dirigeait vers un panneau de contrôle frauduleux capable de récupérer en temps réel les identifiants et codes de sécurité.
Malgré la sophistication de l’opération, les cybercriminels ont commis une erreur majeure. Les chercheurs ont découvert que le PDF utilisé dans l’attaque contenait des métadonnées non supprimées. Celles-ci révélaient que le document avait été créé via Canva par un individu nommé Phạm Tài Tân. En recoupant les informations, Guardio Labs a pu identifier le suspect sur Facebook ainsi que sur son propre site web, où il proposait ironiquement des services d’« aide à la récupération de comptes Facebook ».
L’opération reposait sur un réseau de bots Telegram chargés de collecter et trier automatiquement les données volées avant de les transmettre aux pirates. L’analyse de quatre bots distincts a permis d’estimer à environ 30 000 le nombre de victimes, dont près de 69 % situées aux États-Unis.
Cette affaire illustre une nouvelle fois la sophistication croissante des campagnes de phishing, capables d’exploiter des services légitimes pour contourner les systèmes de sécurité. Elle rappelle aussi l’importance de la vigilance : ne jamais cliquer sur un lien reçu dans un e-mail alarmant et toujours vérifier directement depuis l’application officielle.