Tous les moyens sont bons pour réaliser une campagne de phishing. Et on ne peut pas dire que les pirates manquent d’inventivité : certains se mettent même à utiliser les commentaires de Google Docs, le service de traitement de texte en ligne gratuit du géant américain, pour tenter d’arnaquer des utilisateurs de Gmail peu consciencieux. Ce qui représente un vivier conséquent dans la mesure où Google suite revendiquait 2 milliards d’utilisateurs mensuels actifs en 2020.
Un procédé très efficace
L’arnaque, observée par Avanan en décembre 2021 et repérée par le média spécialisé The Record, est d’une facilité déconcertante. Le hacker mal intentionné crée un Google Doc, avant d’ajouter en commentaire du document un lien malveillant comme dans un phishing traditionnel. Le pirate peut alors utiliser la commande «@» pour mentionner un utilisateur Gmail, qui recevra automatiquement un mail avec le lien vers le Google Doc, mais aussi directement l’arnaque dans la prévisualisation du commentaire.
Pourquoi utiliser cette technique plutôt qu’un simple mail ? D’abord, comme le remarque Avanan, car ce procédé très efficace permet d’envoyer un lien sans que le pirate n’ait à dévoiler sa propre adresse mail. Adresse (souvent loufoque) qui pourrait alerter la victime.
À la place, un nom choisi par l’attaquant s’affiche en haut du mail. Nom qui pourrait facilement se faire passer pour un membre de l’entourage ou de l’entreprise de la cible. D’après les tests réalisés par Cyberguerre, même quand un service mail d’entreprise basé sur Gmail signale d’habitude les messages extérieurs à l’entreprise, le commentaire malveillant n’est pas signalé comme étranger.
Un autre avantage pour le pirate est que le mail automatique qui signale qu’un commentaire mentionne l’utilisateur cible est envoyé directement par Google, et ne peut donc pas être facilement signalé comme spam sans blacklister toute l’infrastructure de Google.
Comment lutter contre cette technique de phishing ?
Des règles d’hygiène numérique basiques permettent d’éviter de tomber dans ce genre d’arnaques. D’abord de ne jamais cliquer sur un lien que vous ne connaissez pas et qui pourrait être malveillant. Ensuite de toujours vérifier l’URL sur laquelle vous êtes avant d’y entrer des informations confidentielles, pour éviter de transmettre des données sensibles à une copie de site créée par un pirate. Une simple recherche Google, où le site légitime sera le mieux référencé, permet de comparer.
Et enfin, dans le cas présent, les pirates peuvent essayer de faire des commentaires réalistes en se faisant passer pour des collègues ou des proches. Il est donc important de toujours vérifier avec votre interlocuteur que c’est bien lui qui vous mentionne dans un document Google Doc avant de cliquer dessus ou d’y répondre.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.