Les pirates envoient de faux e-mails « Google » très convaincants qui contournent les filtres anti-spam, redirigent les victimes vers plusieurs services fiables appartenant à Google, puis les conduisent vers une page de connexion Microsoft 365 identique à l'originale, conçue pour collecter les noms d'utilisateur et les mots de passe.
Chercheurs a découvert que les cybercriminels utilisaient Intégration d'applications Google CloudLa fonctionnalité « Envoyer un e-mail » pour envoyer des e-mails de phishing à partir d'une adresse Google légitime : noreply-application-integration@google[.]com.
Google Cloud Application Integration permet aux utilisateurs d'automatiser leurs processus métier en connectant n'importe quelle application à l'aide de configurations pointer-cliquer. Les nouveaux clients bénéficient actuellement de crédits gratuits, ce qui réduit les barrières à l'entrée et pourrait attirer certains cybercriminels.
Le premier e-mail provient d'une adresse qui semble authentique et fait référence à quelque chose de routinier et familier, comme une notification de message vocal, une tâche à accomplir ou des autorisations d'accès à un document. L'e-mail contient un lien qui renvoie vers une URL Google Cloud Storage authentique, de sorte que l'adresse web semble appartenir à Google et ne semble pas être un faux évident.
Après le premier clic, vous êtes redirigé vers un autre domaine lié à Google (googleusercontent[.]com) affichant un CAPTCHA ou une vérification d'image. Une fois que vous avez passé la vérification « Je ne suis pas un robot », vous arrivez sur ce qui ressemble à une page de connexion Microsoft 365 normale, mais en y regardant de plus près, l'adresse Web n'est pas un domaine Microsoft officiel.
Toutes les informations d'identification fournies sur ce site seront capturées par les pirates.
L'utilisation de l'infrastructure Google offre aux hameçonneurs un niveau de confiance plus élevé de la part des filtres de messagerie et des utilisateurs destinataires. Il ne s'agit pas d'une vulnérabilité, mais simplement d'une utilisation abusive des services cloud fournis par Google.
Réponse de Google
Google a déclaré avoir pris des mesures contre cette activité :
« Nous avons bloqué plusieurs campagnes de phishing impliquant l'utilisation abusive d'une fonctionnalité de notification par e-mail dans Google Cloud Application Integration. Il est important de noter que cette activité résultait de l'utilisation abusive d'un outil d'automatisation des flux de travail, et non d'une compromission de l'infrastructure de Google. Bien que nous ayons mis en place des protections pour défendre les utilisateurs contre cette attaque spécifique, nous encourageons la prudence, car les acteurs malveillants tentent fréquemment d'usurper l'identité de marques de confiance. Nous prenons des mesures supplémentaires pour empêcher toute nouvelle utilisation abusive. »
Nous avons observé plusieurs campagnes de phishing qui exploitent les flux de travail sécurisés d'entreprises telles que Google, PayPal, DocuSign et d'autres fournisseurs de services cloud afin de donner de la crédibilité à leurs e-mails de phishing et de rediriger leurs cibles vers leurs sites web destinés à collecter des identifiants.
Comment rester en sécurité
De telles campagnes montrent que la responsabilité de repérer les e-mails de phishing incombe toujours en partie au destinataire. Outre le fait de vous tenir informé, voici quelques autres conseils que vous pouvez suivre pour rester en sécurité.
- Vérifiez toujours l'adresse Web réellede toute page de connexion ; s'il ne s'agit pas d'un domaine Microsoft authentique, ne saisissez pas vos identifiants. L'utilisation d'un gestionnaire de mots de passe vous aidera, car il ne remplira pas automatiquement vos informations sur les sites Web frauduleux.
- Méfiez-vous des e-mails « urgents » concernant des messages vocaux, des partages de documents ou des autorisations, même s'ils semblent provenir de Google ou Microsoft. Créer un sentiment d'urgence est une tactique couramment utilisée par les escrocs et les hameçonneurs.
- Accédez directement au service lorsque cela est possible. Au lieu de cliquer sur les liens contenus dans les e-mails, ouvrez OneDrive, Teams ou Outlook à l'aide de votre signet ou de votre application habituelle.
- Utilisez l'authentification multifactorielle (MFA) afin que le simple vol de mots de passe ne suffise pas, et vérifiez régulièrement quelles applications ont accès à votre compte et supprimez celles que vous ne reconnaissez pas.
Conseil de pro :Malwarebytes Guard peut reconnaître les e-mails de ce type comme étant des arnaques. Vouspouvez télécharger des textes, e-mails, pièces jointes et autres fichiers suspects et demander son avis. Il est vraiment très efficace pour reconnaître les arnaques.
Nous ne nous contentons pas de signaler les escroqueries, nous contribuons à les détecter.
Les risques liés à la cybersécurité ne devraient jamais dépasser le stade des gros titres. Si quelque chose vous semble louche, vérifiez s'il s'agit d'une arnaque à l'aide de Malwarebytes Guard. Envoyez une capture d'écran, collez le contenu suspect ou partagez un lien, un texte ou un numéro de téléphone, et nous vous dirons s'il s'agit d'une arnaque ou d'un site légitime. Disponible avec Malwarebytes Premium pour tous vos appareils, et dans Malwarebytes pour iOS Android.
