Une opération de phishing d'origine vietnamienne, baptisée AccountDumpling, a compromis environ 30 000 comptes Facebook Business en abusant de Google AppSheet comme relais d'envoi d'emails. Documentée le 1er mai 2026 par le chercheur Shaked Chen, de l'éditeur Guardio, la chaîne d'attaque s'appuie sur des panneaux opérateurs en temps réel, des techniques d'évasion avancées et une boutique illicite qui revend les comptes volés, parfois à leurs propriétaires d'origine.
Contexte
Les comptes Facebook Business, qui contrôlent les pages d'entreprise, les budgets publicitaires et les pixels de tracking, restent une cible historique des groupes cybercriminels vietnamiens. Leur revente sur les marchés clandestins alimente des réseaux de fraude publicitaire, d'usurpation de marque et de diffusion d'arnaques. Une campagne similaire visant Meta avait déjà été décrite par KnowBe4 en mai 2025, exploitant la confiance accordée aux domaines hébergés chez Google.
Les faits
L'attaque démarre par un email envoyé depuis noreply@appsheet.com, adresse légitime utilisée par Google AppSheet pour ses notifications applicatives. Cette origine permet de contourner la majorité des filtres anti-spam, qui considèrent les domaines Google comme dignes de confiance. Le message se présente comme un avis de Meta Support exigeant la soumission d'un appel sous peine de suppression définitive du compte Business.
Quatre clusters d'infrastructure ont été identifiés par Guardio :
| Cluster | Hébergement de la landing | Données collectées |
|---|---|---|
| Faux centre d'aide Facebook | Netlify | Identifiants, date de naissance, téléphone, photo de pièce d'identité |
| Évaluation badge bleu | Vercel | Identifiants après retry forcé, codes 2FA, informations business |
| Vérification par PDF | Google Drive + Canva | Mots de passe, codes 2FA, ID, capture d'écran navigateur via html2canvas |
| Fausses offres d'emploi | Sites attaquants | Profil professionnel, contacts, identifiants secondaires |
L'exfiltration cible des canaux Telegram opérés par les attaquants. Les enregistrements agrégés représentent environ 30 000 victimes, principalement aux États-Unis, en Italie, au Canada, aux Philippines, en Inde, en Espagne, en Australie, au Royaume-Uni, au Brésil et au Mexique.
L'attribution repose sur les métadonnées des PDF générés depuis Canva, qui exposent un nom d'auteur vietnamien et un domaine commercial associé à des prestations de marketing digital. Plusieurs publications publiques sur X, dès 2023, confirment l'écosystème de revente.
Implications
L'abus d'AppSheet illustre une tendance bien installée : détourner des plateformes SaaS de confiance, Google, Microsoft, Vercel, Netlify, Canva, pour bénéficier de leur réputation au lieu d'enregistrer des domaines malveillants éphémères. Pour les défenseurs, deux conséquences concrètes :
- Les filtres réputationnels seuls ne suffisent plus. Bloquer
appsheet.comcasserait des usages légitimes ; la détection doit reposer sur le contenu, les patterns d'expéditeur et les anomalies comportementales, pas uniquement sur le domaine émetteur. - La 2FA SMS ou TOTP est contournée en temps réel dès lors que le code est saisi sur la fausse page. Les comptes Business critiques justifient une clé matérielle FIDO2 ou des passkeys, qui résistent au phishing par conception.
La revente du compte volé à sa propre victime, via un service de "récupération" présenté comme une aide, transforme l'incident en double monétisation : le compte est vendu, puis la restitution est facturée. Ce modèle en circuit fermé exerce une pression financière particulièrement efficace sur les TPE et les indépendants.
Les équipes qui gèrent des comptes Meta professionnels devraient auditer leurs flux d'authentification, restreindre les rôles administrateurs aux seuls comptes équipés de clés matérielles, et former leurs opérateurs marketing à reconnaître l'urgence artificielle. C'est précisément le type de scénario travaillé dans le Bootcamp DevSecOps : reconnaissance d'attaques sociales-techniques, durcissement IAM et détection des abus de plateformes SaaS de confiance.
Sources
- Guardio Labs, recherche originale sur AccountDumpling (1er mai 2026), https://guard.io
- KnowBe4, alerte antérieure sur l'abus d'AppSheet pour phishing Meta (mai 2025), https://www.knowbe4.com