Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Phishing via Google Collections

juillet 2023 par Jeremy Fuchs, Cybersecurity Researcher/Analyst at Avanan, A Check Point Software Company

Google Collections est un outil intéressant qui vous permet de sauvegarder des liens, des images et des vidéos et de les partager avec d’autres personnes. Dans l’esprit des attaques BEC 3.0, voici comment les pirates exploitent cet outil pour diffuser des attaques de phishing. Les pirates, qui s’appuient sur la légitimité de Google, sont à même de dissimuler des liens malveillants dans des sites légitimes L’attaque BEC 3.0 est une autre façon qu’ont les pirates d’inciter les utilisateurs à leur faciliter des informations sensibles.

Dans ce document consacré aux attaques, les chercheurs d’Harmony Email expliquent comment les pirates utilisent Google Collections pour partager des liens de phishing.

L’attaque
Dans cette attaque, les pirates utilisent les pages de Google pour envoyer des liens vers de faux sites de crypto-monnaies.
• Vecteur : Email
• Type : Récupération des identifiants
• Techniques : Ingénierie sociale, BEC 3,0
• Cible : Tout utilisateur final

Exemple d’email :

Le premier e-mail arrive de manière classique, via une notification en provenance directe de Google. C’est dû au fait que le pirate a partagé le contenu de la collection avec l’utilisateur final. L’e-mail est envoyé depuis une adresse no-reply@google.com. Cette adresse est légitime et les pirates comme les utilisateurs finaux le savent. Vous pouvez également cliquer sur le lien : en survolant l’URL, vous verrez apparaître un lien Google légitime. La page ci-dessous est également, vous l’aurez deviné, une page Google légitime.

Les collections Google fonctionnent de la même manière que ci-dessus, avec un certain nombre de figures différentes semblables à des cartes. Vous pouvez créer des liens vers des images, des pages web, etc. au sein de cette collection. Si vous cliquez sur la carte, vous accédez à la page ci-dessous :

Il s’agit du lien vers lequel ils veulent que vous arriviez, un formulaire Google. Il vous redirigera vers un faux site de crypto-monnaie, qui vous volera de l’argent.

Techniques
Le bas de la page Google contient une précision importante : « Ce contenu n’est ni créé ni validé par Google. »

Cette précision est essentielle : cela ne signifie pas que Google est désormais illégitime ou dangereux. Bien au contraire. Mais Google, comme de nombreux sites, vous permet de publier n’importe quel contenu sur sa page. Les pirates abusent de ce privilège pour placer des sites illégitimes et malveillants.

Pour augmenter les chances que leurs charges utiles atteignent leur cible, ils les intègrent de manière astucieuse. Il n’est pas dans le premier lien de l’e-mail. Il n’est pas dans le deuxième lien de l’e-mail non plus. Il est caché dans le troisième lien.
Alors oui, les utilisateurs finaux doivent passer par tous ces liens et toutes ces couches, et cela ne constitue certainement pas une garantie.
Mais à force de voir les liens Google les uns après les autres, les hésitations peuvent commencer à s’estomper. Et lorsque la vigilance diminue, les utilisateurs peuvent être plus enclins à cliquer librement sans se méfier.
C’est bien ce qu’espère BEC 3.0. Ce n’est pas une ruse, mais plutôt un moyen de retourner les connaissances de l’utilisateur contre lui. Étant donné que cela semble être une norme (parce que c’est une norme), les utilisateurs pourraient être plus enclins à coopérer.
Or cela pourrait entraîner de réels dommages.
Check Point a informé Google de cette découverte le 5 juillet dernier.

Les meilleures pratiques : conseils et recommandations
Pour se défendre contre ces attaques, les professionnels de la sécurité peuvent prendre les mesures suivantes :
• Instaurer une sécurité qui utilise l’IA pour analyser plusieurs indicateurs de phishing.
• Appliquer une sécurité complète capable d’analyser documents et fichiers.
• Mettre en œuvre une protection efficace des URL qui analyse et émule les pages web.


Voir les articles précédents

    

Voir les articles suivants