Founders

Le nouveau scam des faux VCs : le Google Doc « chiffré » qui ne chiffre rien

Un Google Doc soi‑disant chiffré, un premier lien “OK”, puis un second lien qui devient le payload. Voici pourquoi ça marche — et comment t’en protéger.

Les groupes de “fake VC” continuent d’innover. Leur dernier terrain de jeu : envoyer un Google Doc soi‑disant chiffré qui ne contient en réalité aucune donnée sensible — mais prépare très bien le terrain pour t’amener à installer un malware plus tard.

Étape 1 – Le mémo de performance « chiffré »

Le process ressemble d’abord à une levée de fonds classique : intro crédible, premier call sérieux, puis un follow‑up avec un Google Doc “chiffré”.

En réalité, il n’y a rien à déchiffrer. L’objectif est surtout de créer l’illusion de process institutionnels, te faire sentir privilégié, et t’inciter à interagir.

Étape 2 – T’amener à écrire dans le doc

Sur cette première version, le lien est généralement bénin (un vrai Google Doc). Le but n’est pas encore l’infection — c’est l’engagement.

commenter directement dans le doc
répondre à de petites questions (“confirmez que vous voyez bien…”, “pouvez‑vous renseigner…”)
laisser des questions sur ta levée et tes métriques

Étape 3 – Le deuxième lien devient le piège

Nous avons déchiffré le document et déplacé les données de performance sur notre plateforme interne pour des raisons de compliance. Merci d’utiliser ce nouveau lien.

Exemple de message de relance qui pousse un nouveau lien

Cette fois, l’URL n’est plus Google. Derrière, on trouve typiquement une fausse page de login (vol d’identifiants) ou un téléchargement d’un “viewer” qui est en réalité un malware.

Le tour de passe‑passe : comme tu as déjà interagi avec un doc légitime, tu recycles le même modèle mental.

Étape 4 – FOMO et urgence artificielle

Pour maximiser les clics, ils empilent du FOMO :

“On partage ce mémo avec un nombre très limité de fonds…”
“Feedback sous 24h pour confirmer votre allocation…”
“Sans réponse d’ici demain matin heure Asie…”

À ce moment‑là tu es investi, sous pression, et moins vigilant. Conditions parfaites pour un mauvais clic.

Comment t’en protéger concrètement

ne fais jamais confiance à un second lien parce que le premier était OK — vérifie chaque URL comme un nouvel objet
limite ce que tu saisis dans des documents que tu n’as pas créés (emails, métriques, données wallets…)
utilise un environnement durci pour tes échanges (profil navigateur ou machine séparée, pas de wallets, pas d’accès prod)
règle par défaut : “je ne clique pas vite” — double‑check toute demande urgence + données confidentielles + nouvelle plateforme

Même avec de la vigilance, pars du principe qu’un jour ça fuitera

Tu peux être prudent et rater quand même un lien. La vraie différence, c’est ce que l’attaquant voit une fois dedans.

Si ton app stocke en clair emails, téléphones et IBAN, une seule compromission peut alimenter des mois de phishing ciblé.