Les outils de Google sont à nouveau exploités pour envoyer des e-mails indésirables, les attaquants utilisant désormais Google Classroom pour diffuser des spams.

Les spams indésirables sont presque aussi anciens que les e-mails eux-mêmes, avec des groupes malveillants travaillant constamment sur de nouvelles astuces pour que leurs messages contournent les filtres anti-spam de Gmail et Outlook. L’un des meilleurs moyens de contourner un filtre anti-spam est de faire en sorte qu’un e-mail provienne d’un expéditeur de confiance, comme Google. Il s’agit d’une stratégie que les attaquants ont employée d’innombrables fois auparavant.

La dernière itération, repérée par Artem Russakovskii, utilise la capacité de Google Classroom à envoyer une invitation de classe à n’importe quelle adresse e-mail. Avant de cliquer, il convient de noter que l’exemple qu’il a partagé est un peu NSFW.

Dans l’état actuel des choses, Google Classroom est accessible à tous ceux qui possèdent un compte Google, et pas seulement à ceux qui possèdent un compte Workspace payant. En créant une salle de classe gratuitement, vous pouvez envoyer une invitation par e-mail à n’importe qui, y compris à ceux qui n’utilisent pas d’adresse Gmail. Tout ce qu’un attaquant doit faire est de placer son message de spam dans le nom de la classe et d’envoyer des invitations Google Classroom. Il ne semble même pas y avoir de limite à la longueur du nom de classe – et donc du message de spam -.

Pire encore, comme le souligne Russakovskii, il ne semble pas y avoir de moyen d’empêcher Google Classroom d’envoyer ces invitations de spam indésirables. Les paramètres de l’application Web offrent une bascule pour les « notifications par e-mail », mais lors de nos tests, cette bascule n’empêche pas systématiquement l’envoi d’e-mails d’invitation dans votre boîte de réception.

La dernière fois que ce type de problème est apparu, c’était via le système de commentaires de Google Docs, Sheets et Slides, où l’on pouvait marquer n’importe quelle adresse e-mail dans un document rempli de spam. Il a fallu plus de six mois à Google pour déployer une solution permettant aux utilisateurs de bloquer les spammeurs et de masquer leurs fichiers indésirables. Espérons que ce spam d’invitation Google Classroom aura une solution plus simple.

En savoir plus sur Google Workspace :