Phishing sur Gmail : une imposture qui sentait bon Google Docs

Sécurité
google-docs-phishing

Les utilisateurs de Gmail ont été visés par une campagne de phishing fondée sur une app malveillante se faisant passer pour Google Docs.

De Google Docs, elle avait tout… même le nom.

Elle, c’est une application malveillante exploitée dans le cadre d’une campagne de phishing visant les utilisateurs de Gmail.

Il était environ 21 h ce mercredi en France quand les premières alertes sont remontées.

Le fil de discussion ouvert sur le site communautaire reddit permet de retracer l’évolution de la situation.

google-docs-whatsapp
WhatsApp aussi a connu des difficultés cette nuit.

Entre révocation de jetons et mise à jour du service de navigation sécurisée (Safe Browsing), il aura fallu un peu moins d’une heure à Google pour écarter la menace.

La firme assure que « moins de 0,1 % » des internautes inscrits sur sa messagerie électronique ont été touchés par cette attaque fondée sur un e-mail en apparence légitime.

Semblant provenir d’un contact connu de l’utilisateur, ledit e-mail contient un lien censé pointer vers un fichier qui s’ouvrira sur Google Docs.

phishing-gmail

L’URL de destination est elle-même déjà suspecte. Elle se traduit par l’affichage d’un écran de connexion au compte Google.

L’application, présentée comme Google Docs, demande alors des permissions : gérer d’un côté les contacts et de l’autre, la boîte de messagerie… en lecture comme en écriture.

En examinant la page, on peut s’apercevoir qu’il s’agit d’une Web app imitant celle de Google. L’indice : l’adresse e-mail eugene.pupov@gmail.com renseignée dans le champ « développeur ».

Une question se pose : l’utilisation du terme « Google » ne devrait-elle pas être proscrite dans les noms des applications tierces ? Toujours sur reddit, certains font remarquer qu’il serait impossible de mettre en place un tel dispositif, ne serait-ce qu’au vu des variantes qui peuvent être mises en place en jouant sur tous les caractères du standard Unicode.

Si cette campagne de hameçonnage n’est pas passée inaperçue, sa vitesse de propagation y est pour beaucoup, grâce à la récupération des carnets d’adresses. Le code malveillant – qui pourrait être celui-ci – est, en outre, capable de passer outre les éventuelles mesures d’authentification forte et les alertes de connexion.


Lire la biographie de l´auteur  Masquer la biographie de l´auteur