Une arnaque sophistiquée par hameçonnage exploite les failles de sécurité de Google pour convaincre les utilisateurs de la légitimité des courriels et du site web malveillants.
Dans une série de publications sur X repérées par Android Authority, le développeur Nick Johnson explique comment il a été victime d’une attaque de phishing exploitant des failles de l’infrastructure de Google. Johnson inclut une capture d’écran du courriel frauduleux, affirmant que Google avait reçu une assignation à comparaître lui demandant de fournir une copie des données de son compte Google.
Un piège très élaboré
Le message utilise les termes appropriés, ne contient aucune faute de frappe ni erreur d’anglais et il est considéré comme valide et signé par Google. Le courriel est envoyé depuis [email protected], une adresse automatisée légitime utilisée par l’entreprise. Le message passe avec succès le contrôle de signature DKIM, qui vise à vérifier l’authenticité d’un message. Aucun autre avertissement n’apparaît, ce qui donne une impression parfaitement légitime.
En cliquant sur un lien que contient le courriel, on est dirigé vers un portail d’assistance ressemblant à une véritable page Google qui est même hébergée sur Google Sites, une plateforme permettant de créer et de gérer ses propres sites web. L’utilisation d’une telle plateforme légitime ajoute au leurre des victimes.
En cliquant sur le lien « Télécharger des documents supplémentaires » ou « Consulter le dossier », on accède à un écran de connexion, qui semble également provenir de Google. À ce stade, un indice suggère qu’il pourrait s’agir d’une arnaque. Comme le souligne Johnson, l’écran de connexion est hébergé sur Google Sites et non sur la page de son compte Google.
C’est à ce moment-là que Johnson a mis fin au processus. S’il avait saisi son nom d’utilisateur et son mot de passe, il présume que les attaquants auraient volé ses identifiants de connexion et les auraient utilisés pour compromettre son compte Google.
« Cette récente attaque de phishing exploite des fonctionnalités légitimes de Google pour envoyer des courriels frauduleux qui contournent certains contrôles traditionnels, et exploite Google Sites pour héberger des pages usurpées et récupérer des identifiants », a déclaré Melissa Bischoping, responsable de la recherche en sécurité chez Tanium, une entreprise de cybersécurité.
« L’e-mail utilisait une application OAuth combinée à une solution de contournement DKIM innovante pour contourner les protections censées protéger contre ce type précis de tentative de phishing », poursuit-elle. « Ce qui rend cette tactique particulièrement dangereuse n’est pas seulement le tour de passe-passe technique, mais l’utilisation délibérée de services de confiance pour échapper aux utilisateurs et aux outils de détection. »
La responsabilité de cette escroquerie incombe évidemment aux escrocs eux-mêmes. Mais Google est également concerné, car cet exploit est possible grâce à plusieurs failles de sécurité.
Premièrement, Google Sites est un produit obsolète qui autorise encore l’insertion de scripts et d’intégrations arbitraires, selon Johnson. Cette faiblesse pourrait permettre à un attaquant d’ajouter du code arbitraire et malveillant ainsi que des objets intégrés à une page web. Deuxièmement, un examen plus approfondi du courriel révèle qu’il ne provient pas de Google, mais d’une adresse privateemail.com. Cela soulève la question de savoir comment et pourquoi Google l’a signé.
Après avoir reçu le message frauduleux, Nick Johnson a déclaré avoir contacté Google pour les alerter des vulnérabilités. Dans un premier temps, l’entreprise a apparemment balayé ses inquiétudes. Mais Google a ensuite changé d’avis et a depuis indiqué qu’il corrigerait ces bugs.
« De plus en plus d’acteurs malveillants choisissent délibérément d’exploiter des services dont les usages professionnels sont très légitimes, ce qui souligne la tendance selon laquelle, à mesure que les outils de détection se renforcent, les adversaires cherchent des moyens d’échapper à la détection, sans nécessairement les déjouer avec des exploits coûteux », ajoute Melissa Bischoping.
Ils se concentrent sur les outils, les sites et les fonctions que les organisations utilisent au quotidien. En se fondant dans le trafic normal et en évitant qu’un destinataire lambda ne consulte un domaine de confiance comme « google.com », les pirates informatiques ont un taux de réussite élevé sans investissement significatif.
Merci à Nick Johnson d’avoir non seulement détecté cette arnaque et alerté les utilisateurs, mais aussi d’avoir insisté auprès de Google pour qu’il résolve le problème.
Comment se protéger contre des attaques de phishing aussi sophistiquées ?
Thomas Richards, directeur de la sécurité des infrastructures chez Black Duck, fournisseur de solutions de sécurité, propose les recommandations suivantes.
Méfiez-vous des courriels qui vous incitent à agir immédiatement et vous alertent de conséquences négatives. C’est généralement un signe que le message est malveillant.
Vérifiez les adresses électroniques « expéditeur » et « destinataire ». Si le domaine « expéditeur » ne correspond pas à celui de l’entreprise ou si le destinataire n’est pas vous, le courriel est probablement une arnaque.
Évitez de cliquer sur les liens contenus dans le courriel. Dans l’attaque décrite par Nick Johnson, le site malveillant est hébergé sur un domaine Google. Or, Google ne vous enverra jamais de réclamation pour ensuite vous rediriger vers le domaine Google Sites. En cas de doute, connectez-vous à votre compte Google séparément, sans cliquer sur aucun lien, et vérifiez si des messages ou des alertes vous attendent. Enfin, effectuez une recherche en ligne pour inspecter le contenu du courriel. Cela vous permettra de savoir si d’autres personnes l’ont signalé comme une arnaque ou ont reçu un message similaire.