[Panopti.net – 23/03/2014]

Vous avez reçu un mail Google, proposant un lien sécurisé (HTTPS) renvoyant vers une page du domaine google.com ? Et bien il peut tout de même s’agir d’un mail frauduleux ! Comment ne pas se faire piéger par cette tentative d’hameçonnage dernier cri ?

Des courriels de phishing, on en reçoit preque tous les jours (YahooCollisimoEDF,OrangeSFRFreeLa Banque PostalePayPalCAFVisa Mastercard, etc.), ce n’est pas à un vieux singe qu’on apprend à faire la grimace ! Pourtant, certaines de ces tentatives de vol d’informations personnelles ou bancaires sont de plus en plus sophistiquées, à la fois sur la forme (moins de fautes d’orthographe), mais aussi sur le fond : en cas de doute, on glisse généralement sa souris sur le lien proposé pour détecter l’arnaque (l’URL censée renvoyer vers le site de EDF ou Orange est en réalité une adresse web étrange… et frauduleuse). Et bien cette astuce pourrait bien être de l’histoire ancienne !

En effet, Symantec a détecté une nouvelle forme d’hameçonnage particulièrement trompeuse :

  • Le courriel provient des services Google
  • Le lien proposé appartient au domaine google.com
  • Le lien proposé est bien en HTTPS (page sécurisée)

L’habit ne fait pas le moine

Cette arnaque d’un nouveau genre commence, comme à chaque fois, par la réception d’un e-mail : portant l’objet « Documents », il s’agit de la notification du partage d’un document Google Drive (anciennement appelé Google Docs). Rien dans ce courriel n’est faux : le lien proposé renvoie en effet vers un document Google Drive (URL google.com, préfixe HTTPS).

Mais les apparences peuvent être trompeuses :

Il s’agit en réalité d’une fausse page, hébergée sur les serveurs de Google, et protégée par SSL. Les cyber-attaquants ont simplement créé un dossier (partagé en mode « public ») dans un compte Google Drive, y ont téléchargé un fichier, dont l’aperçu s’affiche automatiquement :

google-phishing

Cet aperçu est plus que familier pour les utilisateurs Google : il s’agit a priori de la page d’identification (login). Et bien non, c’est une fausse ! Pourtant, elle ne surprendra pas les victimes ciblées, puisque cette fenêtre apparaît très souvent lorsqu’on tente d’accéder aux services Google. Le piège est donc très bien ficelé.

Si l’e-mail et le mot de passe sont saisis, et que le bouton « Sign in » / « Se connecter » est pressé, les identifiants personnels de la victime seront de suite transmis sur un serveur web frauduleux (via un script PHP). La sécurité des comptes Google concernés est donc directement compromise.

Une fois le piège refermé, la page web affiche un vrai document Google Drive, complètement anodin, mais permettant de ne pas éveiller les soupçons chez ceux qui, malheureusement, ont dévoilé leurs identifiants à des personnes peu scrupuleuses.

Quelques astuces pour éviter le pire

Si vous recevez un tel courriel, voici quelques remarques qui devraient vous aider à ne pas tomber dans le piège :

  • A chaque fois qu’une fenêtre d’identification Google apparaît, vérifiez bien que l’URL commence par « https://accounts.google.com/« . Sinon, il s’agit probablement d’une page non-officielle, et donc frauduleuse.
  • Ne cliquez pas sur un lien proposé par courriel, notamment si vous ne connaissez pas spécifiquement l’émetteur du message. Préférez saisir vous-même l’adresse web du site en question, dans votre navigateur Internet. Une fois connecté, vérifiez l’information annoncée dans l’e-mail (ou dans le cas ci-dessus, les documents Google Drive partagés avec vous).
  • Si une fenêtre d’authentification Google s’affiche dans votre navigateur Internet alors que vous êtes déjà connecté à votre compte, il s’agit probablement d’une page suspecte.
  • Si vous pensez avoir été piégé, connectez-vous rapidement à votre compte Google, et modifiez votre mot de passe d’accès.

Depuis la découverte de cette tentative d’hameçonnage par Symantec, Google a supprimé les pages incriminées. Mais cela ne signifie pas que la méthode de phishing ne peut pas être reproduite !

http://www.panoptinet.com/cybersecurite-decryptee/nouvelle-forme-de-phishing-authentification-google/