« Cette récente attaque par hameçonnage exploite des fonctionnalités légitimes de Google pour envoyer des e-mails spécialement conçus qui contournent certaines vérifications traditionnelles, et utilise Google Sites pour héberger des pages falsifiées et collecter des identifiants. L’e-mail exploitait une application OAuth combinée à une solution de contournement DKIM ingénieuse afin de contourner les types de mesures de sécurité destinées à protéger contre ce type précis de tentative d’hameçonnage. Ce qui rend cette tactique particulièrement dangereuse, ce n’est pas seulement l’habileté technique, mais l’utilisation délibérée de services de confiance pour échapper à la fois aux utilisateurs et aux outils de détection.

Si certains composants de cette attaque sont nouveaux (et ont été corrigés par Google), les attaques exploitant des services et des utilitaires professionnels de confiance ne sont pas des incidents isolés ou inédits. De plus en plus de cybercriminels choisissent délibérément d’exploiter des services qui ont des cas d’utilisation professionnelle tout à fait légitimes, soulignant ainsi la tendance suivante : à mesure que les outils de détection se renforcent, les adversaires cherchent des moyens de les contourner complètement, sans nécessairement les déjouer à l’aide d’exploits coûteux. Ils se concentrent sur les outils, les sites et les fonctions que les organisations utilisent dans leur travail quotidien. En se fondant dans le trafic normal et en misant sur le fait qu’un destinataire type ne regardera pas de près un domaine de confiance tel que « google.com », les acteurs malveillants obtiennent un taux de réussite élevé sans investir de manière significative dans de nouvelles tactiques, techniques et procédures (TTP).

Comment les organisations peuvent-elles donc faire face à cette situation à l’avenir ? Donnez la priorité aux défenses multicouches et à la formation des utilisateurs. Les formations de sensibilisation doivent évoluer en fonction du paysage des menaces et aborder à la fois les techniques nouvelles et celles qui restent efficaces. Parallèlement, les mesures de protection techniques telles que le sandboxing des liens et la détection des anomalies dans les contenus téléchargés afin de repérer les anomalies et les indicateurs potentiels sont essentielles pour détecter rapidement les menaces et renforcer les couches de défense.

Comme toujours, une authentification multifactorielle robuste est essentielle, car le vol et l’utilisation abusive des identifiants resteront une cible attractive. »