Une vague d’hameçonnage touche les utilisateurs de Google Looker Studio, Google Docs et Google Slide

0
185

Dans ce dossier d’attaque BEC 3.0, les chercheurs de Check Point dévoilent la façon dont les pirates utilisent l’ingénierie sociale avec un domaine Google, conçu pour susciter une réponse de l’utilisateur et remettre des informations d’identification à des sites de cryptage. Google a été alerté le 22 août dernier.

Plus de 10 millions de personnes utilisent les produits de la famille Google Looker, mais ils sont malheureusement de plus en plus utilisés à des fins illicites. Une nouvelle étude de Check Point a révélé que les cybercriminels utilisent Google Looker Studio, Google Docs et Google Slide pour mener des attaques de phishing avancées.

Voici comment cela fonctionne :

  1. Le cybercriminel crée une page Google Looker Studio. 
  2. Le cybercriminel utilise Google pour envoyer une notification réelle à la victime ciblée, lui demandant de revoir ou de commenter. Comme la notification provient du compte Google légitime, elle n’est pas détectée par les filtres de sécurité.
  3. La victime clique pour consulter la page, qui semble légitime.
  4. La page Google Looker contient un lien qui redirige la victime vers une page externe conçue pour voler ses identifiants de connexion et des informations liées à la cryptographie.

Selon Jeremy Fuchs, chercheur en cybersécurité chez Check Point Software Technologies :

“Les cybercriminels profitent des outils commerciaux de Google pour voler les identifiants de connexion et les comptes cryptographiques. Récemment, nous avons constaté une augmentation spectaculaire de l’utilisation de Google Looker Studio pour des tentatives d’hameçonnage. Ce phénomène est préoccupant car il est difficile à détecter, tant pour les services de sécurité que pour les utilisateurs finaux”.

Hameçonnage via Google Looker Studio

Tribune par Jeremy Fuchs, chercheur/analyste en cybersécurité chez Check Point Software

Une attaque de plus en plus importante impliquant Google Looker Studio fait le tour du monde. Au cours des dernières semaines, nous avons vu plus d’une centaine d’attaques de ce type.

Google Looker Studio est un outil qui convertit des informations – diaporamas, feuilles de calcul, etc. – en données visualisées, telles que des diagrammes et des graphiques.

Les pirates l’utilisent pour créer de fausses pages cryptographiques destinées à voler de l’argent et des informations d’identification.

C’est une autre façon pour les pirates d’utiliser des services légitimes pour ce que nous appelons les attaques BEC 3.0.

Dans ce dossier d’attaque, les chercheurs de Check Point Harmony email discuteront de la façon dont les pirates utilisent l’ingénierie sociale avec un domaine Google, conçu pour susciter une réponse de l’utilisateur et remettre des informations d’identification à des sites de cryptage.

Attaque

Dans cette attaque, les pirates utilisent Google Looker Studio pour héberger des sites cryptographiques de collecte d’informations d’identification.

  • Vecteur : Courriel
  • Type : BEC 3.0
  • Techniques : Ingénierie sociale, collecte de données d’identification
  • Cible : Tout utilisateur final

Exemple d’e-mail

Cette attaque commence par un courriel provenant directement de Google, en l’occurrence Google Looker Studio.

Les pirates ont créé un rapport dans Looker Studio. L’e-mail contient un lien vers le rapport, indiquant qu’en suivant ces stratégies d’investissement, les utilisateurs ont obtenu un bon rendement. S’ensuit un joli : « Pour accéder à votre compte, cliquez ici. »

Lorsque vous cliquez, vous serez redirigé vers cette page. Encore une fois, il s’agit d’une page Google Looker légitime.

Ici, les pirates ont hébergé un diaporama Google expliquant comment réclamer plus de Bitcoin. De là, il accède à une page de connexion conçue pour voler vos informations d’identification. Mais d’abord, ils vous donnent encore plus d’urgence.

Afin de sauvegarder votre compte, vous devez vous connecter immédiatement. Ensuite, bien sûr, vos informations d’identification sont volées.

Techniques

Dans le backend, vous pouvez voir les signatures que Google utilise pour légitimer cette page.

Décomposons cela un peu. Sender Policy Framework, ou SPF, est une méthode d’authentification de courrier électronique conçue pour empêcher l’usurpation d’e-mail en spécifiant les adresses IP ou les serveurs autorisés à envoyer des courriers électroniques pour un domaine particulier.

Dans ce cas, la vérification SPF a réussi (spf=pass) car l’adresse IP de l’expéditeur (209.85.160.70) est répertoriée comme expéditeur autorisé pour ce domaine : data-studio.bounces.google.com

Ensuite, il y a DomainKeys Identified Mail, ou DKIM. Il s’agit d’un autre outil d’authentification de courrier électronique qui utilise des signatures cryptographiques pour vérifier que le contenu du courrier électronique n’a pas été modifié pendant le transit et qu’il provient réellement du domaine indiqué. Dans ce cas, la signature DKIM a réussi (dkim=pass) et a été vérifiée pour le domaine google.com

Vient ensuite l’authentification, la création de rapports et la conformité des messages basés sur le domaine, ou DMARC. DMARC est un cadre politique qui s’appuie à la fois sur SPF et DKIM pour améliorer encore l’authentification des e-mails. Il permet aux propriétaires de domaine de spécifier les actions à entreprendre pour tout e-mail qui échoue avec SPF ou DKIM. Dans ce cas particulier, la vérification DMARC a réussi (dmarc=pass) pour le domaine google.com et l’action spécifiée n’est aucune. Cela signifie qu’aucune mesure spécifique n’est prise en cas d’échec des e-mails.

C’est une longue façon de dire que les pirates informatiques exploitent l’autorité de Google. Un service de sécurité de la messagerie examinera tous ces facteurs et sera sûr qu’il ne s’agit pas d’un e-mail de phishing et qu’il provient de Google. Et c’est le cas ! Parce que l’attaque est si profondément imbriquée, tous les contrôles standards réussiront avec brio.

Or, cela nécessite la coopération de la part de l’utilisateur, pour parcourir tous les liens et saisir les informations requises. Tous les utilisateurs ne le feront pas. Mais comme on le dit souvent, il suffit d’une seule attaque réussie.

Les chercheurs de Check Point ont contacté Google pour les informer de cette campagne le 22 août.

Meilleures pratiques : conseils et recommandations

Pour se prémunir contre ces attaques, les professionnels de la sécurité peuvent procéder comme suit :

  • Adoptez une technologie basée sur l’IA capable d’analyser et d’identifier de nombreux indicateurs de phishing pour contrecarrer de manière proactive les attaques complexes.
  • Adoptez une solution de sécurité complète qui inclut des fonctionnalités d’analyse de documents et de fichiers
  • Déployez un système de protection d’URL robuste qui effectue des analyses approfondies et émule les pages Web pour une sécurité renforcée.