Des internautes ont repéré une vaste campagne de phishing ciblant les utilisateurs de Google Docs. Très bien réalisé, le mail redirige vers un clone malveillant du service.
Si vous recevez un mail contenant un document Google externe, supprimez-le ! Il s’agit surement d’un message de type hameçonnage (phishing). Cette attaque particulièrement vicieuse a été repérée par des utilisateurs et postée sur Reddit. Il s’agit d’un lien malveillant vers un document apparemment stocké sur Google Docs, camouflé via l’usage d’une application, avec un texte invitant a y accéder. La redirection mène vers les domaines “googledocs.g-cloud.pro” ou “googledocs.g-cloud.info“.
Jerome Segura, Lead Malware Intelligence Analyst chez Malwarebytes a réagi face à l’attaque ciblée :
“Cette campagne de spams sur Google Docs, que l’on pensait initialement destinée aux journalistes, prend une dimension beaucoup plus large, internationale. Dans le cas de cette attaque, « Google Docs » est en fait une application aléatoire, créée et plagiée par un individu. Ce qui est incroyable, c’est que Google ne prévoit pas de bloquer et d’empêcher les personnes nommant des applications du même nom que les siennes ou d’un nom similaire. Comme la victime autorise physiquement l’application, l’
authentification à deux facteurs (2FA) ou un mot de passe fort, ne suffisent pas. Les utilisateurs ayant accepté une invitation douteuse, doivent à présent révoquer les autorisations de l’application pour se protéger.
Il faut féliciter la réponse rapide de Google pour avoir mis fin à cette campagne de phishing en moins d’une heure. Malgré tout, étant donné le grand nombre d’utilisateurs et la façon dont elle a été conduite, cette attaque a bien fonctionné. Le motif reste encore un mystère. Est-ce qu’il s’agissait d’une sorte de test ? En effet mis à part l’aspect “vers informatique” qui renvoyait le même message à tous les contacts dans le carnet d’adresses, selon Google aucune autre information n’aurait été volée, ni aucun malware installé.
Ce qu’on peut dire c’est que la méthode du phishing reste très efficace et que les utilisateurs doivent faire attention aux applications tierces qui demandent accès à leur compte.”
Le principal fautif dans cette attaque est Google lui-même car il a accepté que le nom utilisé pour une application externe liée à Google soit “Google Docs”. Pour les pirates, cela était donc du pain béni, sans compter l’abus du mécanisme d’authentification OAuth qui accompagnait la stratagème ! Google a réagi et à bloqué l’attaque en supprimant les pages malveillantes incriminées et mis à jour l’outil Safe Browsing :
We've addressed the issue with a phishing email claiming to be Google Docs. If you think you were affected, visit https://t.co/O68nQjFhBL. pic.twitter.com/AtlX6oNZaf
— Google Docs (@googledocs) May 3, 2017
Pour se protéger, la règle principale à suivre est de ne pas cliquer sur des liens & pièces jointes envoyées par des adresses mails inconnues. Pour Google, l’attaque aurait touché moins de 0,1 % des utilisateurs de Gmail. La technique utilisée par les pirates serait semblable à celle dévoilée par Trend Micro, et utilisée par un groupe de pirates nommé Pawn Storm.
Charles Rami Sales Engineering Manager, Southern Europe chez Proofpoint déclare :
« La récente attaque de phishing de Google Docs a mis à profit certaines techniques qui auparavant, étaient plutôt associées à des cyberattaques liées à certains gouvernements. Cela dit, cette attaque n’avait pas une envergure plus importante que les campagnes d’hameçonnage habituelles ciblant Google, Microsoft ou d’autres organisations. Les cybercriminels continuent d’utiliser des messages soigneusement conçus pour dérober les informations d’identification des comptes de messagerie, car ils sont la porte d’entrée pour d’autres comptes numériques, comme les services bancaires, les médias sociaux et les listes de contacts. Notre analyse initiale montre que cette attaque visait des organisations de tous types, y compris dans les secteurs de l’éducation, de la technologie, des services financiers et des voyages. Sur la base de la réussite de cette attaque, nous nous attendons à ce que des campagnes similaires soient initiées pour attirer de nouvelles victimes potentielles. »