Depuis quelques semaines, une campagne de phishing particulièrement efficace s’attaque à Google Agenda. Vol d’identifiants, de données personnelles et d'informations bancaires : les hackers ont sorti le grand jeu.
Google Agenda, utilisé par plus de 500 millions d’internautes au quotidien, est la cible d’une nouvelle campagne de phishing. Cette cyberattaque, particulièrement active, exploite des failles dans les filtres anti-spam de Gmail pour infiltrer les boîtes de réception à l'aide d'invitations frauduleuses. L’objectif des cybercriminels est clair : collecter des données personnelles et financières pour alimenter des escroqueries, avec des conséquences parfois lourdes pour les victimes.
De fausses invitations, de vraies escroqueries
Découverte par les chercheurs et chercheuses de Check Point, cette attaque repose sur un détournement habile des mécanismes de confiance des services Google. De manière tout à fait classique, tout commence par la réception d’un mail en apparence légitime. Dans ce contexte précis, le message ressemble bien à une invitation Google Agenda.
Mais les choses prennent une tournure autrement insidieuse, alors que les cyberattaquants usurpent l’identité de contacts connus. Pire, en modifiant les en-têtes des mails envoyés, ils parviennent sans difficulté à passer les contrôles de sécurité standard, à savoir les protocoles DKIM, SPF et DMARC intégrés à Gmail, notamment. Résultat : ces invitations frauduleuses franchissent les filtres anti-spam sans difficulté.
Une fois le mail réceptionné, l’internaute est invité à rejoindre une réunion, et redirigé vers une page Google Drawings ou Google Forms. Ici, les pirates mettent en scène des étapes familières et rassurantes : vérification reCAPTCHA ou bouton d’assistance technique pour pousser l’utilisateur ou l'utilisatrice piégée à cliquer sur un nouveau lien. À l’issue de toute cette mascarade, la victime atterrit finalement sur une fausse page d’assistance Bitcoin, et est invitée à compléter un processus d’authentification factice avec ses informations personnelles et de paiement.
Les chiffres parlent d’eux-mêmes : selon Check Point, plus de 300 établissements d’enseignement, services de santé, entreprises de construction et banques ont été ciblés, et 4 000 mails frauduleux ont été envoyés en quatre semaines seulement.
Comment éviter de tomber dans le piège ?
Pour limiter les risques liés à ces campagnes de phishing extrêmement bien orchestrées, Google recommande officiellement d’activer l’option « expéditeurs inconnus » dans les paramètres de Google Agenda. Ce réglage devrait automatiquement bloquer les invitations provenant de contacts non reconnus.
En parallèle, continuez d’adopter de bons réflexes pour renforcer la sécurité de vos comptes. Avant de cliquer sur un lien, prenez le temps de survoler l’URL pour vérifier qu’elle correspond bien à une adresse légitime, ou saisissez-la directement dans votre navigateur.
Pensez à toujours activer l’authentification à double facteur (A2F) sur les services compatibles, de manière à bloquer toutes tentatives d’intrusion en cas de piratage avéré.
N’hésitez pas non plus à vous tourner vers des outils anti-spam complémentaires, à l’image de ce que proposent certains antivirus, pour renforcer les filtres existants sur Gmail ou toute autre boite de réception.
Sources : Check Point, Bleeping Computer
30 décembre 2024 à 09h35
