Ce qui aurait pu être une incroyable campagne de phishing fructueuse a tourné en véritable eau de boudin. En mars et avril 2026, des pirates informatiques vietnamiens ont mené une vaste opération de phishing baptisée “AccountDumpling”. Celle-ci s’est rapidement avérée porteuse, puisqu’elle leur a permis de compromettre 30 000 comptes Facebook dans plus de 50 pays.
La méthodologie suivie par les assaillants était assez élaborée et diablement efficace. Ils sont passés par Google AppSheet, un outil officiel de Google. Pour parvenir à pirater les comptes Facebook de leurs victimes, ils se sont servis d’AppSheet pour envoyer de faux emails émanant de Facebook qui ne tomberaient pas dans le dossier des indésirables. Ils ont alors tout simplement créé un compte AppSheet, leur permettant d’envoyer des mails partant depuis l’adresse “[email protected]”, partant depuis les serveurs de Google et donc passant tous les contrôles d’authenticité.
Le mail que reçoit la victime peut ensuite prendre quatre formes différentes, toutes identifiées par Guardio Labs :
- Fausse page Facebook (Cluster A) : l’email menace d’une suspension de compte pour violations de droits d’auteur. La victime doit alors cliquer sur le lien la renvoyant vers un faux site Facebook qui collecte identifiants, mots de passe, photos de carte d’identité et numéro de téléphone.
- Fausse récompense et badge bleu (Cluster B) : les pirates appâtent avec des promesses, comme un badge de vérification bleu gratuit (alors qu’il est payant en temps normal), des récompenses pour annonceur…
- PDF piégé sur Google Drive (Cluster C) : l’email contient un PDG hébergé sur Google Drive qui s’apparente à une vraie communication de Meta. Il contient un lien qui permet de suivre en temps réel la victime et de collecter ses mots de passe voire de faire des captures d’écran du navigateur.
- Fausses offres d’emploi (Cluster D) : l’email envoyé imite des recruteurs de WhatsApp, Meta, Adobe, Apple, Coca-Cola ou encore Ray-Ban. Le lien contenu renvoie ici vers une conversation WhatsApp que les pirates détournent.
Une erreur qui coûte très cher
Avec toutes ces informations, les pirates avaient clairement les moyens de s’en mettre plein les poches, d’autant que leurs victimes proviennent des Etats-Unis, d’Italie, du Canada ou encore d’Australie. Cependant, c’est en utilisant la méthode du Cluster C que les autorités sont très rapidement parvenues à remonter la source des phishing et à identifier le commanditaire.
Ledit PDF utilisé par les pirates pour hameçonner leur victime aurait en effet été créé sur Canva qui, automatiquement, enregistre les données du créateur du fichier dans les métadonnées de celui-ci. Ainsi, les chercheurs ont retrouvé dans le champ /Author du PDF le nom réel du pirate informatique, à savoir Phạm Tài Tân. Guardio Labs est même parvenu à très rapidement retrouver son profil Facebook et son site internet, où il propose des services de “récupération de comptes Facebook”. Rien que ça…
Une erreur de débutant donc, mais qui n’indique pas pour autant que M. Tài Tân est à l’origine des trois autres formes de phishing. Un lien peut éventuellement être établi avec les clusters A et B, puisqu’ils utilisent les mêmes bots Telegram et les mêmes patterns techniques. C’est toutefois plus flou pour le cluster D, qui utilise la même méthodologie via AppSheet, mais dans lequel certains indices marquants des autres clusters n’apparaissent pas.
🟣 Pour ne manquer aucune news sur le Journal du Geek, suivez-nous sur Google et sur notre canal WhatsApp. Et si vous nous adorez, on a une newsletter tous les matins.
