Les formulaires Google utilisés à des fins de phishing

0
213

Les cas d’utilisation de Google Forms pour l’envoi de formulaires sont infinis : un questionnaire pour élèves, un espace pour recueillir des commentaires ou simplement un emplacement centralisé pour les inscriptions.

Tribune par Jeremy Fuchs, chercheur/analyste en cybersécurité, Check Point Software

Nous sommes tous utilisateurs de boites emails, dans nos vies privées comme professionnelles. Et les risques liés à leurs usages sont similaires. Une attaque BEC 3.0 (Business Email Compromise) implique l’utilisation de sites légitimes pour mener des activités de phishing. Par exemple, une facture frauduleuse envoyée via PayPal peut sembler authentique car l’e-mail provient directement du site. Cette technique peut contourner les vérifications de réputation de l’expéditeur et rendre la détection par les systèmes de traitement du langage naturel plus complexe.

Force est de constater que nombre d’entre eux proviennent de la gamme d’outils de Google. Que ce soit via des Google Docs, Collections, Ads ou des formulaires, tous ces services gratuits sont utilisés pour lancer des campagnes de phishing.

Les services de Google ne sont pas invulnérables. Ils n’ont pas non plus été la cible d’une attaque massive. Les cybercriminels utilisent Google comme un moyen de camoufler des liens qui, autrement, pourraient être repérés par les systèmes de sécurité.

Dans ce document consacré aux attaques, les chercheurs d’Harmony Email expliquent comment les pirates se servent de Google Collection pour partager des liens de phishing.

L’attaque

Dans cette attaque, les pirates utilisent les pages de Google pour envoyer des liens vers de faux sites de crypto-monnaies. 

  • Vecteur : Email
  • Type : Récupération des identifiants
  • Méthodes : Ingénierie sociale, BEC 3.0
  • Cible : Tout utilisateur final

Dans cette attaque, les acteurs de la menace créent des formulaires Google. Google Forms est un outil polyvalent qui permet à n’importe qui d’envoyer des formulaires à des destinataires. Les cas d’utilisation sont infinis : un questionnaire pour élèves, un espace pour recueillir des commentaires ou simplement un emplacement centralisé pour les inscriptions.

Ce formulaire contient un lien malveillant que les pirates ont intégré. Pour inciter l’utilisateur à agir, ils envoient un lien vers ce formulaire. L’e-mail explique que le destinataire détient un compte Bitcoin, mais n’y a pas accédé depuis un moment. Pour récupérer l’accès au compte et à son solde, le lien dans l’e-mail le conduit à un formulaire Google.

En cliquant sur « GO TO SITE », vous êtes redirigé vers un lien malveillant.

Méthodes

Google est un service réputé pour sa sécurité et n’a pas subi d’attaques massives. Cependant, les pirates informatiques exploitent ses services comme point de départ pour mener leurs attaques.

En initiant le processus de phishing avec Google, plusieurs éléments se mettent en place. Pour commencer, les services de sécurité penseront que l’e-mail est authentique. Et c’est bien le cas.

L’utilisateur final sera également plus enclin à cliquer sur un lien proposé par Google, puisqu’il s’agit de quelque chose de courant qu’il fait sans problème.

Il est vrai que l’utilisateur final doit partager ses informations volontairement, mais cela n’est pas forcément garanti. Mais s’agissant d’un site Google, les utilisateurs lui feront plus confiance.

Ces attaques ont lieu sur Google et d’autres sites du même type, parce qu’ouvrir un compte y est gratuit. C’est facile à faire et ne demande pas beaucoup d’efforts ni de connaissances particulières.

Ces attaques exploitent la confiance que nous plaçons dans des plateformes comme Google pour nous persuader de faire des choses que nous ne ferions normalement pas.

Il ne s’agit pas d’une légitimité apparente mais d’un e-mail légitime qui présente une particularité. Mais ce petit détail peut causer des dégâts considérables.

Bonnes pratiques : Conseils et recommandations

Pour se défendre contre ces attaques, les professionnels de la sécurité peuvent prendre les mesures suivantes :

  • Adopter une sécurité qui utilise l’IA pour analyser plusieurs indicateurs de phishing.
  • Appliquer une sécurité complète capable d’analyser documents et fichiers.
  • Mettre en place une protection efficace des URL qui analyse et émule les pages web