Fake Calendly invites spoof top brands to hijack ad manager accounts

2 minute de lecture

Mis à jour : December 02, 2025

Invites Calendly Frauduleuses pour le Détournement de Comptes Publicitaires

Une campagne de phishing sophistiquée utilise de faux invitations Calendly pour usurper l’identité de grandes marques telles qu’Unilever, Disney, MasterCard, LVMH et Uber. L’objectif est de dérober les identifiants des comptes Google Workspace et Facebook Business, ouvrant la voie à des campagnes de malvertising, de distribution de logiciels malveillants ou à des attaques de type ClickFix. Ces comptes de gestion publicitaire compromis peuvent également être revendus.

L’attaque débute par l’envoi d’une fausse invitation de réunion, rédigée avec l’aide présumée d’outils d’IA, se faisant passer pour un recruteur d’une marque reconnue. Le lien inclus redirige la victime vers une fausse page Calendly, suivie d’une page de phishing AiTM conçue pour capturer les sessions de connexion Google Workspace. Des variantes ciblent également les identifiants Facebook Business, en utilisant des techniques de “Browser-in-the-Browser” (BitB) pour présenter de fausses fenêtres pop-up semblant légitimes.

Parallèlement, une campagne de malvertising a été observée où de fausses publicités Google Ads mènent à des pages de phishing imitant l’écran de connexion de Google.

Points Clés :

Usurpation d’identité de grandes marques : Utilisation de la confiance associée à des noms comme Unilever, Disney, MasterCard, LVMH, Uber.
Utilisation de Calendly : Exploitation de la légitimité de la plateforme de planification pour inciter à l’action.
Techniques de phishing avancées : Recours à l’IA pour la création des emails, pages de phishing AiTM (Authentication as a Service), et attaques Browser-in-the-Browser (BitB).
Ciblage de comptes à haute valeur : Focalisation sur les comptes Google Workspace et Facebook Business Manager, offrant un accès à des budgets publicitaires et des données d’entreprise.
Mécanismes anti-analyse : Blocage des VPN et proxies, et prévention de l’utilisation des outils de développement.

Vulnérabilités :

Non spécifié dans l’article. L’attaque repose sur l’ingénierie sociale et la tromperie plutôt que sur des vulnérabilités logicielles spécifiques et identifiées par CVE.

Recommandations :

Utilisation de clés de sécurité matérielles : Pour les comptes sensibles, afin de se prémunir contre le vol d’identifiants même s’ils sont compromis.
Vérification attentive des URL : Avant de saisir des identifiants, il est crucial de s’assurer de la légitimité de l’adresse web.
Identification des attaques BitB : Pour les pop-ups, faire glisser la fenêtre vers le bord de l’écran peut aider à vérifier son authenticité.
Prudence face aux invitations inattendues : Se méfier des invitations de réunion non sollicitées, surtout si elles proviennent de sources inconnues ou semblent inhabituelles, même si elles prétendent provenir d’une marque familière.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

Fake Calendly invites spoof top brands to hijack ad manager accounts

Invites Calendly Frauduleuses pour le Détournement de Comptes Publicitaires

Partager sur

Vous pourriez aimer

Weekly Update 484

Mises à jour hebdomadaires et aperçu des menaces

Massive Rainbow Six Siege breach gives players billions of credits

ISC Stormcast For Sunday, December 28th, 2025 https://isc.sans.edu/podcastdetail/9750, (Sun, Dec 28th)

Point d’information ISC : Alertes et Analyse

Hacker claims to leak WIRED database with 2.3 million records

Fuite massive de données chez Condé Nast