Les attaques par phishing sont légions sur le web, mais rarement il y en a eu qui soient aussi sophistiquée. Des millions d’utilisateurs reçoivent des e-mails à priori de confiance car venant de contacts figurant dans leur carnet d’adresse. Seulement, les messages contiennent un lien Google docs assez difficile à évaluer comme étant malicieux.

Google a lancé une alerte via la page Twitter de Gmail, appelant ses utilisateurs à la vigilance face à une dangereuse attaque phishing. Des millions d’utilisateurs reçoivent un email ayant tout d’authentique. Le message  invite les destinataires à ouvrir ce qui semble être un document Google via un bouton bleu d’appel à l’action estampillé « Ouvrir dans doc ».

Une attaque très bien élaborée

Les hackers se sont servis du protocole OAuth, dont se servent la plupart des services du web pour permettre aux utilisateurs de se connecter. Il s’agit de ces fameuses boîtes de dialogues qui permettent de se loguer en utilisant ses comptes Gmail, Facebook, Twitter, etc.

 

Aussitôt que le destinataire clique sur le bouton d’appel à l’action, il lui est demandé de donner des autorisations d’accès à une application imitant Google Docs. Ces permissions incluent la possibilité de lire, d’envoyer, de supprimer les e-mails, mais aussi de gérer les contacts.

Une fois les autorisations données, rien ne se passe du côté des victimes, mais les hackers reçoivent effectivement l’accès à leur compte Gmail. Les personnes derrière cette attaque pouvaient ainsi se servir des comptes hackés pour envoyer le même message phishing aux contacts figurant dans les carnets d’adresse. Vous l’auriez compris, le danger ici est que les nouvelles cibles sont plus faciles à tromper car ils reçoivent des emails venant de leurs contacts reconnus.

Google a indiqué avoir pris des mesures

Ce processus automatisé à permis aux attaquant d’envoyer des emails massifs pendant plus de 3 heures de temps avant que Google n’identifie la campagne malicieuse et ne prenne des mesures pour bloquer l’application et descendre les pages d’hameçonnage mises en place par l’attaquant :

« Nous avons pris des mesures pour protéger les utilisateurs contre un courrier électronique impliquant Google Docs et avons désactivé les comptes de l’attaquant. Nous avons supprimé les fausses pages et effectué des mises à jour pour une navigation sécurisée. Notre équipe chargé des abus travaille pour éviter que ce type de spoofing ne se reproduise. Nous encourageons les utilisateurs à signaler les courriels de phishing dans Gmail.« 

 

 

 

 

 

 

 

 

Publicités