Des pirates déguisent leurs tentatives de phishing en notifications Google AppSheet

Ces dernières années, les campagnes de phishing sont devenues nettement plus sophistiquées et convaincantes. Les adresses d’expéditeur sont désormais presque identiques à celles des vrais emails, les messages sont rédigés à la perfection et les utilisateurs sont appelés par leur nom. Mais que faire lorsqu’un email suspect provient d’une adresse email qui semble tout à fait légitime ?

Ces derniers temps, les pirates exploitent la plateforme Google AppSheet pour lancer des campagnes d’emails en masse provenant d’une adresse officielle liée à Google. Une fois leur attaque réussie, ils repartent avec les comptes et les données confidentielles de leurs victimes.

Dans cet article, nous vous expliquons en détail comment fonctionne cette nouvelle technique de vol de données et comment vous protéger contre ces attaques de phishing sournoises.

Google vous propose un emploi. Ou Coca-Cola. Ou peut-être même Volvo. Vraiment ?

AppSheet est un service de Google permettant de créer des applications sans aucune connaissance en programmation. Les petites entreprises l’utilisent souvent pour automatiser les flux de travail routiniers. Malheureusement, c’est précisément cette simplicité qui rend AppSheet si attrayant pour les cybercriminels. De nos jours, il suffit de quelques dollars et d’une application pour lancer une escroquerie par phishing à l’aide de commandes et de modules prédéfinis.

Le mode opératoire des attaques de phishing visant AppSheet est assez classique. La victime reçoit un email prétendument envoyé par une grande entreprise, et ces messages s’adressent souvent au destinataire par son nom. Il semblerait que les pirates analysent des données divulguées afin de faire correspondre des noms à des adresses email spécifiques.

Ensuite, les pirates jouent sur les émotions du destinataire, en recourant soit à la carotte, soit au bâton. Ils peuvent effrayer la victime en lui envoyant des avertissements urgents qui exigent une réaction immédiate, par exemple « Votre compte sera bientôt désactivé » ou « Activité suspecte détectée ». Une autre méthode consiste à l’attirer avec des appâts irrésistibles, comme la promesse d’un badge de vérification ou d’une invitation à un entretien auprès d’un géant de la technologie. Ces faux emails prétendant provenir du service RH sont conçus pour procurer aux victimes une sensation d’euphorie immédiate. Ils donnent l’impression que la candidature du destinataire a déjà été traitée en priorité et fortement appréciée, laissant entendre qu’une offre d’emploi pourrait lui parvenir très rapidement.

Pour la plupart des gens, ce genre de messages ne semble pas suspect. L’email contourne complètement le dossier des spams, et le champ « De » affiche exactement le nom de l’entreprise, comme prévu. Malheureusement, cela ne signifie pas pour autant que l’email est authentique : les pirates informatiques peuvent indiquer ce qu’ils veulent dans le nom d’affichage. Et soyons honnêtes : très peu de gens prennent réellement le temps d’examiner l’adresse email de l’expéditeur.

Dans les campagnes de phishing reposant sur AppSheet, l’expéditeur est toujours le même : noreply{@}appsheet.com. Mais voici le plus incroyable : cette adresse est tout à fait authentique. Comme ces emails sont directement liés à l’infrastructure de Google, il y a de fortes chances que les filtres anti-spam standard les laissent passer sans broncher.

Bien sûr, pour décrocher cet entretien tant convoité ou régler un problème lié à son compte, la victime clique sur le lien, puis fournit de son plein gré toutes ses données personnelles sur un site contrefait : nom complet, adresse, numéro de téléphone, etc. Les pirates peuvent ensuite vendre les données ainsi récoltées sur le Dark Web ou les utiliser pour mener des attaques ciblées secondaires. Pour couronner le tout, la victime est redirigée vers une page de connexion frauduleuse, ce qui permet aux pirates de s’emparer de ses identifiants.

Voici une description étape par étape de la manière dont une victime passe de la réception d’un faux email provenant du portail Google Careers à la compromission totale de son compte :

Des campagnes de phishing similaires sont lancées sous le nom d’autres grandes marques technologiques, et les utilisateurs qui communiquent les identifiants de leur compte Apple risquent de perdre non seulement leur compte, mais aussi le contrôle de tous leurs appareils Apple. Les pirates peuvent faire pression sur la victime pour qu’elle se déconnecte de son identifiant Apple personnel et se connecte à un « compte d’entreprise » à des fins de vérification, qui est en réalité un compte Apple qui leur appartient. Dès que la victime obtempère, les criminels prennent le contrôle total à distance de l’appareil utilisé, recourant souvent au mode Perdu pour bloquer l’accès à la victime et prendre son téléphone en otage.

Pour ne rien arranger, les pirates n’insèrent pas toujours un lien malveillant dans l’email initial. Ils préfèrent parfois jouer la carte de la patience : ils entraînent leur victime dans une conversation en lui demandant de répondre et de confirmer son intérêt. Ce stratagème donne l’impression de discuter avec un véritable recruteur. Et cette méthode n’est pas non plus l’apanage de la Silicon Valley. Les pirates informatiques se font souvent passer pour des marques mondialement connues, telles que Volvo ou Coca-Cola. Bien sûr, il est très peu probable que les pirates s’intéressent au compte Coca-Cola d’un utilisateur, à supposer même que celui-ci en possède un. L’objectif est très probablement de dérober des données sensibles ou de convaincre l’utilisateur de se connecter à un formulaire de phishing à l’aide de ses identifiants Google, Apple, Facebook, etc.

Vous souhaitez obtenir la certification Meta ?

Bien sûr, les « jobs de rêve » ne sont pas le seul appât utilisé. Certaines campagnes prévoient que le « service d’assistance Facebook » contacte un utilisateur pour lui annoncer qu’il a été sélectionné pour recevoir le prestigieux badge « Meta Verified » – une coche bleue habituellement réservée aux célébrités de premier plan et aux grandes marques mondiales. Pour obtenir la coche bleue tant convoitée, la victime est redirigée vers une page de phishing où elle est invitée à remplir un formulaire d’identification, avant de fournir l’information la plus précieuse : son nom d’utilisateur et son mot de passe Facebook. Et tout ça, bien sûr, au nom de la sécurité !

Ces sites frauduleux sont créés dans une grande variété de langues et adaptés aux utilisateurs de différents pays. Voici la version néerlandaise.

Dans d’autres campagnes, les pirates exploitent l’application AppSheet de Google pour semer la panique, en essayant de déstabiliser l’utilisateur en lui faisant croire qu’il a enfreint la politique sur la propriété intellectuelle de Meta, et en le menaçant de fermer définitivement son compte Facebook. Pour faire appel, la victime doit cliquer sur un lien menant à… un site de phishing, fournir ses informations personnelles et, bien sûr, saisir son nom d’utilisateur et son mot de passe Facebook.

Comment repérer les tentatives de phishing et protéger vos comptes

Malheureusement, les attaques par phishing sont de plus en plus complexes, car les pirates s’approprient régulièrement la réputation de services et de domaines légitimes. Voici comment éviter de tomber dans leurs pièges et protéger vos données :

• Rappel : tous les emails de phishing ne finissent pas forcément dans le dossier des spams. Les filtres anti-spam standard des clients de messagerie ne parviennent souvent pas à détecter les attaques complexes, et le cas d’AppSheet en est un parfait exemple. Pour éviter de tomber accidentellement dans le piège, utilisez Kaspersky Premium sur tous vos appareils. Il intercepte les emails de phishing et bloque instantanément les liens vers les faux sites Internet, même si ceux-ci utilisent un nom de domaine tout à fait légitime. De plus, la version Android est capable de détecter les liens malveillants et de phishing dans les messages provenant de n’importe quelle application.
• Vérifiez l’orthographe de l’email pour repérer d’éventuelles fautes. Pour éviter que leurs messages ne déclenchent des alertes, les pirates informatiques ont souvent recours à des techniques sournoises, comme l’insertion d’espaces supplémentaires ou la substitution de caractères. Prenons cet exemple tiré d’un des emails que nous avons trouvés : S u ppo r t  Fac eb o ok lieu de Support Facebook.
• Avant d’effectuer toute action sur un site Internet, vérifiez soigneusement que son nom de domaine correspond bien à l’adresse officielle. Les personnes malintentionnées créent souvent des adresses qui ne semblent authentiques qu’à première vue, jusqu’à ce qu’on y regarde de plus près. Installez Kaspersky Premium pour être sûr de ne jamais vous retrouver sur un site frauduleux.
• Regardez d’abord l’adresse de l’expéditeur, et pas seulement le nom d’affichage. Si un email prétend provenir de Google Careers, du service des ressources humaines d’Apple ou du service d’assistance de Facebook, mais que l’adresse de l’expéditeur renvoie vers AppSheet ou un autre service sans rapport, ne prenez même pas la peine de lire le message. Cette incohérence au niveau du domaine est un signe évident qu’il s’agit d’un piège. Vérifiez que ces adresses email correspondent bien à celles indiquées sur les sites officiels des entreprises.
• Vérifiez la signature des emails. Par exemple, tous les emails envoyés via AppSheet comportent une mention légale tout en bas du message. Vous avez beaucoup plus de chances de recevoir une notification AppSheet authentique de la part d’une petite entreprise ou d’une petite société, mais certainement pas d’un géant de la technologie. Les grandes entreprises utilisent généralement leurs propres domaines pour l’envoi de leurs emails.
• Utilisez un gestionnaire de mots de passe. Même si vous tombez sur un site frauduleux et que vous essayez de saisir votre mot de passe, un gestionnaire de mots de passe fiable fiable vous signalera que le domaine ne correspond pas et refusera de remplir automatiquement votre nom d’utilisateur et votre mot de passe.
• N’oubliez pas l’authentification à deux facteurs. Si cette fonction est activée, le simple fait de disposer de votre nom d’utilisateur et de votre mot de passe ne permettra pas aux pirates informatiques d’accéder à votre compte : ils auront également besoin d’un code à usage unique. Cependant, ils pourraient tout de même tenter de vous piéger pour que vous leur communiquiez également ces informations. Redoublez donc de prudence chaque fois que vous saisissez des codes d’authentification à deux facteurs, quel que soit le site.
• Utilisez des clés d’accès plutôt que des mots de passe dans la mesure du possible. Cette technologie offre une excellente protection contre le phishing : même si vous vous rendez sur un site malveillant et essayez de vous connecter, la clé d’accès ne fonctionnera pas sur ce domaine falsifié. Dans Kaspersky Password Manager, vous pouvez enregistrer et synchroniser vos clés d’accès sur différents appareils. Lisez notre article à ce sujet pour en savoir plus sur le fonctionnement des clés d’accès.

Les attaques par phishing sont de plus en plus sophistiquées. Autres articles utiles concernant le phishing :

• Qu’advient-il des données volées lors d’une attaque de phishing ?
• Attaques  » navigateur dans le navigateur  » : de la théorie à la réalité
• Phishing et spam : les campagnes les plus incroyables de 2025
• Le phishing dans les mini-applications de Telegram : quel est le rapport avec la papakha de Habib ?
• Comment les escrocs et les pirates spécialisés dans le phishing exploitent-ils l’IA ?