Les fans de Google sont mis en garde contre une nouvelle tactique choquante employée par les cyber-voleurs pour voler vos données personnelles, y compris votre mot de passe. La nouvelle attaque est plus susceptible d’avoir un impact sur ceux qui s’appuient sur Google Docs, car des e-mails frauduleux sont diffusés avec de faux liens vers des documents dans le but d’inciter les utilisateurs sans méfiance à transmettre leurs informations de connexion.
La menace, qui pourrait avoir des conséquences dévastatrices pour ceux qui comptent sur une adresse e-mail Google pour réinitialiser les mots de passe d’autres comptes en ligne – comme Amazon, PayPal ou les services bancaires en ligne, a été repérée par l’équipe d’Avanan. L’attaque est assez simple mais extrêmement efficace.
Cela commence par un e-mail atterrissant dans votre boîte de réception avec un lien vers un document Google. Une fois cliqué, un document Word apparaît dans une fenêtre Google Docs d’aspect officiel. Vous êtes ensuite invité à télécharger le document pour l’afficher hors ligne, ce lien les orientant vers une fenêtre de connexion à un compte Google.
Bien sûr, Google Docs n’exige jamais que les utilisateurs téléchargent le fichier avant de pouvoir le visualiser – et il est peu probable que vous ayez besoin de vous reconnecter si vous utilisiez Gmail quelques secondes plus tôt lorsque vous avez cliqué sur le lien. Non, il s’agit d’un stratagème astucieux pour amener les gens à saisir leur combinaison e-mail-mot de passe dans un écran de connexion frauduleux – en remettant les détails directement aux pirates.
Avavan dit que les pirates contournent les analyseurs de liens statiques en hébergeant leurs attaques dans des services connus du public. L’équipe de sécurité dit avoir vu cela dans le passé avec de petits services comme MailGun, FlipSnack et Movable Ink, mais c’est la première fois qu’ils le voient via un service majeur comme Google Drive/Docs.
Les analystes d’Avanan ont également repéré cette même méthode d’attaque utilisée pour usurper un e-mail de phishing DocuSign. Si vous ne savez pas d’où vient un e-mail, les experts vous conseillent de ne jamais cliquer sur des liens ou télécharger des documents car ils pourraient contenir des logiciels malveillants.
Cela vaut la peine de changer le mot de passe lié à votre compte Google, surtout si vous pensez avoir cliqué sur l’un de ces faux liens Google Doc.
À propos de l’attaque, Hank Schless, directeur principal des solutions de sécurité chez Lookout, a déclaré : « Cet incident montre à quel point il est simple de créer une page de phishing convaincante. Vous n’avez pas besoin d’être un ingénieur logiciel expérimenté pour effectuer cela. Combiner cette tactique avec l’ingénierie sociale pourrait créer une campagne très convaincante où l’attaquant est capable de glisser les identifiants de connexion personnels ou d’entreprise.
« Les auteurs de menaces savent que voler des identifiants de connexion légitimes est le meilleur moyen d’entrer discrètement dans l’infrastructure d’une organisation. Étant donné que la plupart des organisations utilisent Google Workspace ou Microsoft 365 comme principale plate-forme de productivité, les attaquants créent des campagnes de phishing qui exploitent spécifiquement ces services. Une fois que l’attaquant a ces identifiants de connexion et peuvent se connecter à la plate-forme cloud sur laquelle ils ont choisi de construire leur campagne, il n’y a pas de limite aux données qu’ils peuvent exfiltrer. »
Ce n’est pas la première fois que des escrocs utilisent Google Docs pour tenter de voler des données. En 2017, Google a averti les utilisateurs d’une dangereuse attaque de phishing qui permettait aux pirates d’accéder à l’intégralité du contenu de leurs comptes Google, y compris les e-mails, les contacts et les documents en ligne.