Prudence aux utilisateurs de Gmail ! Une campagne de phishing particulièrement vicieuse a été mise en lumière par certains chercheurs. Le piège est très réaliste… et dangereux.
La société Wordfence s’est penchée sur le mode d’action des cybercriminels pour mener leurs campagnes de phishing. L’une d’entre elle a été particulièrement dangereuse et vise Gmail.
Comme toute attaque par phishing, le piège débute par la réception d’un mail frauduleux. Dans le cas présent, le premier atout des cybercriminels est que le mail est crédible étant donné qu’il émane d’un contact qui a été piraté précédemment. Le mail paraît donc légitime et n’ira pas en spam.
Second point, et c’est là tout le génie du piège, le mail en question contient une fausse pièce jointe cliquable : il s’agit en fait d’une simple image imitant l’affichage Gmail des pièces jointes !
Mais ce n’est pas tout. En effet, le lien cliquable de l’image mène à une adresse URL précédée de la commande “data:text” : le navigateur Web va alors charger les données depuis l’URL plutôt que depuis le nom de domaine indiqué par la suite.
Tout semble légitime, la page est une copie parfaite ainsi que le nom de domaine apparent. Mais voila, il s’agit d’un clone bien dissimulé grâce à la technique du “data:text” !
Par ailleurs, l’URL malicieuse contient également de nombreux espaces vides, qui dissimulent un code JavaScript utilisé pour reproduire l’affichage de la fausse page de connexion. Bien entendu, si un utilisateur berné saisi son mot de passe sur la fausse page de connexion, ce dernier sera immédiatement transmis aux cybercriminels, qui peuvent ensuite exploiter l’accès au compte pour étendre encore plus leur campagne de phishing et aussi, accéder à l’ensemble des données personnelles du compte Google de la victime.
La technique n’est pas nouvelle mais mérite une mise à jour de part sa spécificité et son taux de succès anormalement élevé d’après les experts en sécurité. Seul moyen de protection face à cela, la vigilance ! Il faut impérativement vérifier le domaine de l’URL (accounts.google.com) ainsi que la présence du fameux cadenas vert signalant une connexion sécurisée via HTTPS (le certificat SSL est signé par Google Internet Authority G2) :
À quoi sert cette fonctionnalité “data:text” d’ailleurs ? À part pour phisher, je vois mal dans quel situation un développeur aurait besoin de charger sa page depuis un script contenu dans l’adresse…
on dirait bien que la chine se fout de la gueule des états-unis
Les commentaires sont fermés.