Google / Getty Images / WIRED
Les escrocs viennent de trouver un nouveau leurre de phishing avec lequel jouer: Google Drive. Une faille dans le Drive est exploitée pour envoyer des e-mails apparemment légitimes et des notifications push de Google qui, si elles sont ouvertes, pourraient amener des personnes sur des sites Web malveillants. L’arnaque elle-même n’a rien de nouveau – les messages vous demandant de cliquer sur des liens douteux sont aussi vieux que l’Internet lui-même – mais pourraient prendre beaucoup de gens au dépourvu.
La partie la plus intelligente de l’arnaque est que les e-mails et les notifications qu’elle génère proviennent directement de Google. Sur mobile, l’arnaque utilise la fonctionnalité de collaboration de Google Drive pour générer une notification push invitant les gens à collaborer sur un document. Si vous appuyez dessus, la notification vous amène directement à un document contenant un lien très volumineux et tentant. Une notification par e-mail créée par l’arnaque, qui provient également de Google, contient également un lien potentiellement malveillant. Contrairement au spam classique, que Gmail fait un très bon travail de filtrage, ce message ne se retrouve pas seulement dans votre boîte de réception, il obtient une couche supplémentaire de légitimité en venant de Google lui-même.
Le succès des filtres anti-spam a poussé les escrocs à la recherche de nouvelles façons d’amener les gens à cliquer sur des liens malveillants. Et Google Drive est assez accommodant. Par défaut, Drive souhaite que vous sachiez quand quelqu’un vous a mentionné dans un document. Dans un environnement de travail, cela peut être un collègue vous demandant de vérifier une diapositive dans une présentation ou un mémoire pour un nouveau projet. Pour les escrocs, c’est un moyen astucieux de mettre un lien malveillant juste devant une victime potentielle.
Les escrocs se frayent un chemin à travers une énorme liste de comptes Gmail, avec des dizaines de personnes rapportant des versions similaires de l’attaque ces dernières semaines. L’une des notifications d’escroquerie reçues par WIRED liée à un document Google Slides qui avait été créé par un compte Gmail avec un nom russe. L’historique de modification du document montrait qu’il avait été copié à partir d’un autre document et était constamment en cours de modification, ce qui suggère que les escrocs dupliquaient l’arnaque et ajoutaient plus de personnes pour essayer d’attirer de nouvelles victimes. WIRED a contacté l’adresse Gmail associée au document d’arnaque, mais n’a reçu aucune réponse. Le document d’arnaque a depuis été supprimé pour violation des conditions d’utilisation de Google.
Les personnes ciblées par l’arnaque reçoivent des notifications et des e-mails Google Drive en russe ou en anglais cassé leur demandant de collaborer sur des documents aux noms absurdes. Ces documents contiennent toujours un lien vers un site Web frauduleux. L’un des sites Web utilisés pour l’arnaque, qui n’a été enregistré que le 26 octobre, bombarde les gens de notifications et demande de cliquer sur des liens vers des offres et des tirages au sort. D’autres versions de l’arnaque tentent d’inciter les gens à cliquer sur des liens pour vérifier leur compte bancaire ou pour recevoir un paiement.
Ce n’est peut-être pas élégant, mais l’arnaque est efficace pour obtenir des liens malveillants dans les boîtes de réception et les appareils mobiles des gens. «La livraison de liens est toujours un défi», déclare Jake – @JCyberSec_ sur Twitter – un chercheur indépendant en cybersécurité qui suit les campagnes de phishing depuis cinq ans et qui a également été ciblé par l’arnaque Drive. « Les e-mails sont étroitement surveillés et analysés par les systèmes, ce qui signifie qu’un grand nombre d’e-mails de spam sont détectés avant la livraison », dit-il – mais Google Drive n’offre pas une telle protection. «Les acteurs de la menace essaient toujours de trouver de nouvelles méthodes de livraison», dit Jake. Et sur mobile, la méthode de phishing pourrait être particulièrement efficace. «Le hameçonnage ciblé sur mobile est en hausse car il y a moins de contrôles de sécurité», ajoute-t-il.
Un porte-parole de Google a déclaré que l’entreprise avait mis en place des mesures pour détecter les nouvelles attaques de spam et les arrêter, mais qu’aucune mesure de sécurité n’était efficace à 100%. Le porte-parole ajoute que Google travaille sur de nouvelles mesures pour empêcher le spam Google Drive d’échapper à ses systèmes. Toute personne ciblée par l’arnaque peut la signaler à Google via l’entreprise page d’assistance.
«Il est difficile pour Google de faire quoi que ce soit si la notification provient d’un compte légitime; ce qui est, bien entendu, facile à créer », déclare David Emm, chercheur principal en sécurité au sein de la société de cybersécurité Kaspersky. Il ajoute que, comme pour toutes les escroqueries par hameçonnage, l’important est de réfléchir avant de cliquer. «Évitez de cliquer sur des liens non sollicités de toute nature lorsqu’ils sont envoyés à partir de sources inconnues. Si vous ne vous attendiez pas à le recevoir et que vous ne connaissez pas l’expéditeur, ne répondez pas. «
La nouvelle approche pour inciter les gens à cliquer sur des liens malveillants est similaire à une arnaque qui a implanté des liens de phishing dans Google Agenda. Dans ce cas, les hameçonneurs se sont rendu compte qu’ils pouvaient tirer parti d’un paramètre par défaut dans Google Agenda qui leur permettait de créer leurs propres événements liés à des liens douteux. Comme pour l’arnaque Google Drive, les e-mails et les notifications générés par l’arnaque Calendrier provenaient également de Google.
Les publications sur les forums de la communauté Google et les médias sociaux suggèrent que l’arnaque Drive est devenue excessive ces dernières semaines, certaines personnes se plaignant d’avoir reçu plusieurs notifications pour collaborer sur des documents douteux. De nombreux documents signalés à Google semblent avoir été supprimés pour violation de ses conditions d’utilisation.
James Temperton est l’éditeur numérique de WIRED. Il tweete de @jtemperton
Plus d’histoires intéressantes de WIRED
?? Tous les pays n’ont pas traité la pandémie de la même manière – l’expérience suédoise Covid-19 a-t-elle fonctionné?
? Ce bot AI Telegram a abusé de milliers de femmes
? Les nouveaux téléphones d’Apple sont arrivés: Devriez-vous acheter l’iPhone 12 ou l’iPhone 12 Pro?
? Écoutez le podcast WIRED, la semaine de la science, de la technologie et de la culture, livré tous les vendredis
