Une campagne de phishing a compromis 30 000 comptes Facebook en exploitant Google AppSheet. Les attaquants ont créé des applications sans code qui simulaient la légitimité, trompant les utilisateurs pour leur faire accorder des autorisations dangereuses. Via des courriels et des notifications Facebook falsifiés, les victimes accédaient à des liens qui volaient leurs identifiants et prenaient le contrôle de leurs profils, exposant ainsi des données sensibles.
L'abus des plateformes no-code comme vecteur d'attaque 🛡️
Google AppSheet permet de créer des applications sans programmer, mais son usage légitime a été détourné. Les attaquants ont conçu des interfaces imitant Facebook, demandant des autorisations OAuth pour accéder aux profils, messages et jetons de session. Étant hébergées dans l'infrastructure de Google, ces applications contournaient les filtres de sécurité de base. Le vol d'identifiants s'exécutait en arrière-plan, tandis que la victime croyait interagir avec une page officielle.
Même en offrant des apps sans code, on n'échappe pas au phishing 😅
Il s'avère qu'avec des outils pour créer des applications sans savoir coder, on n'est pas à l'abri des arnaqueurs. Désormais, les escrocs utilisent aussi le no-code pour paraître plus modernes et professionnels. 30 000 personnes sont tombées dans le piège parce que la fausse application portait le sceau de Google, comme si c'était une garantie de pureté. Le phishing a évolué : ce n'est plus seulement un prince nigérian, c'est maintenant une application qui promet de vous faciliter la vie tout en vidant votre profil.