Une attaque de phishing sophistiquée ciblant les utilisateurs de Gmail a récemment été mise en lumière par Nick Johnson, le fondateur d’Ethereum Name Service.
- Une attaque de phishing cible les utilisateurs de Gmail.
- L'email passe les contrôles de sécurité de Gmail.
- Le lien mène à une page support apparentement légitime.
- Les escrocs exploitent des vulnérabilités dans l'infrastructure Google.
Détails sur l’e-mail de phishing
L’e-mail passe tous les contrôles de sécurité, y compris la signature DKIM. Johnson explique : «Il passe le contrôle de la signature DKIM, et Gmail l’affiche sans aucun avertissement – il le met même dans la même conversation que d’autres alertes de sécurité légitimes.
En outre, le lien contenu dans cet e-mail mène à une page support apparemment légitime. L’utilisateur pourrait croire qu’il interagit avec une interface authentique lorsqu’il clique sur «Télécharger des documents supplémentaires» ou «afficher le cas», atterrissant sur un faux portail identique à la vraie interface.
Mécanisme sophistiqué des phishers
Les escrocs créent un domaine spécifique et configurent un compte Google qui envoie ensuite ces messages frauduleux. Ils ont ainsi accès aux systèmes OAuth pour intégrer leur message trompeur, ce qui semble émaner directement du service juridique de Google. Johnson précise : «Maintenant, ils accordent à leur application OAuth l’accès à leur compte.» Les arnaqueurs transmettent ensuite ces messages aux victimes jusqu’à ce qu’elles cliquent dessus.
Ce stratagème exploite deux vulnérabilités clés dans l’infrastructure Google, selon Johnson : la possibilité d’héberger du contenu sur des sous-domaines sans moyens adéquats pour signaler les abus.
Conseils pour repérer un e-mail de phishing
Nick Johnson propose quelques conseils pratiques pour identifier ces tentatives frauduleuses. Le premier indice peut résider dans l’en-tête où bien qu’un mail semble signer comme venant de Google, son expéditeur ne correspond pas nécessairement au bon format habituel. De plus, cela pourrait être flagrant grâce à l’adresse e-mail inhabituelle indiquée comme expéditeur.
Réaction de Google
Johnson conclut en notant avoir soumis un rapport concernant cette vulnérabilité auprès de Google qui a affirmé travailler sur un correctif : «Ils ont répondu en disant qu’ils corrigeraient le bogue OAuth.
Dans un contexte où les attaques numériques se multiplient et deviennent chaque jour plus difficilement détectables, cette alerte rappelle la nécessité impérative pour les utilisateurs d’exercer une vigilance accrue face aux communications électroniques ostensiblement fiables mais potentiellement nuisibles.
