Attention, des hackers testent leur nouvelle méthode de phishing sur iCloud, PayPal ou encore Google Docs

Par Alexandre Boero, Journaliste-reporter, responsable de l'actu.

Publié le 23 mars 2023 à 16h15

Depuis plusieurs semaines, une nouvelle méthode de hameçonnage, baptisée « Phishing Scams 3.0 », est utilisée pour mener des attaques sur des services courants, en infiltrant les boites mails des internautes.

Les pirates et autres attaquants informatiques ne cessent de se réinventer à mesure que les technologies évoluent et que la sensibilisation au risque cyber progresse. Avanan, une filiale du spécialiste de la cybersécurité Check Point, l'a appris en découvrant une évolution des attaques de phishing, qui s'appuient désormais sur des services et entreprises populaires pour infiltrer les boites de réception des internautes avec des adresses légitimes.

Google Docs, PayPal, iCloud… des services bien connus utilisés par les hackers

Plus précisément, cette nouvelle méthode, nommée « Phishing Scams 3.0 », consiste pour les hackers à utiliser des services légitimes pour lancer leur attaque. Ici, la cible reçoit un courrier électronique d'un service légitime, comme Google Docs et PayPal, qui contient un lien qui redirige la victime vers un site malveillant.

Outre PayPal et Google Docs, plusieurs autres services ont été identifiés. Les pirates se font aussi passer pour iCloud, FedEx, SharePoint, RingCentral ou encore Intuit, pour ne citer qu'eux. Le processus fonctionne en 4 étapes majeures.

D'abord, le hacker crée un compte gratuit sur le service dont il veut se servir
Ensuite, il trouve des courriels à qui envoyer des mails
Le cybercriminel crée une fausse facture, sur laquelle il précise que l'utilisateur ciblé a été facturé, ou qu'un abonnement est sur le point d'être renouvelé
Puis le pirate clique sur « envoyer »

Des attaques à l'aide d'adresses électroniques parfaitement légitimes

Ce qu'il faut comprendre, c'est qu'à chaque fois, l'adresse électronique à partir de laquelle le mail malveillant est envoyé est parfaitement légitime. Elle contient la bonne adresse, ce qui permet à l'attaquant de passer outre la détection et l'identification, et vient ainsi compliquer la tâche de l'utilisateur stressé ou peu sensibilisé, qui est alors davantage susceptible de cliquer et d'aller au bout du processus.

Les chercheurs ont débusqué un mail à l'intérieur duquel le pirate a ajouté un commentaire dans Google Sheets. Après avoir créé un compte Google gratuit, il a ensuite créé une feuille en mentionnant dessus la cible visée, qui reçoit alors une notification légitime par mail. Là, débute le processus. Le même exemple existe avec Google Docs.

Piège tendu via Google Sheets, avec une autre adresse légitime © CheckPoint (pardonnez-nous pour la qualité du cliché)

Il est plutôt difficile de débusquer le piège. L'URL est légitime dès la première analyse. Mais tout n'est pas parfait jusqu'au bout dans cette attaque, et heureusement ! Lorsque vous cliquez sur le lien, vous êtes redirigé vers un faux site de crypto-monnaies, qui a pour but par exemple de voler les informations d'identification.

Exemple d'usurpation d'identité PayPal © CheckPoint (pardonnez-nous pour la qualité du cliché)

Sur les deux derniers mois, Check Point a intercepté pas moins de 33 817 attaques de ce type par courrier électronique. Elles concernent quasi systématiquement les services PayPal, Google Docs et dans une moindre mesure SharePoint et FedEx.

Par Alexandre Boero

Journaliste-reporter, responsable de l'actu

Journaliste, responsable de l'actualité de Clubic – Sensible à la cybersécurité, aux télécoms, à l'IA, à l'économie de la Tech, aux réseaux sociaux ou encore aux services en ligne. En soutien direct du rédacteur en chef, je suis aussi le reporter et le vidéaste de la bande. Journaliste de formation, j'ai fait mes gammes à l'EJCAM, école reconnue par la profession, où j'ai bouclé mon Master avec une mention « Bien » et un mémoire sur les médias en poche.

Articles d'Alexandre Boero

Phishing

Logiciels & services

Actualités High-Tech

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (10)

zztop06

toujours le même problème , NE JAMAIS OUVRIR UN LIEN , dans un mail ou il y a soit disant un problème .
Il suffit d’aller directement sur le site incriminé ; mais je n’apprend rien a personne …

Krypton_80

Ensuite, il trouve des courriels à qui envoyer des mails

C’est quoi la différence entre les deux ?

zoup01

Ceci pourrait expliquer les mails qui tombent depuis quelques temps dans mon dossier spam, avec comme en-tête « iCloud saturé « ou quelque chose d’approchant…
Je ne connais pas le contenu, je ne les ai jamais ouvert.

sylvebarbe78

Pour résumer, rien de nouveau… Il suffit de ne pas cliquer sur les liens ou répondre aux mails.

Maraut

donc il trouve des courriers électroniques francophones à qui envoyer des courriers électroniques anglophones !
allez je déconne !

ovancantfort

Depuis quelques semaines, je suis inondé de tentatives d’un nouveau genre. Les scammers prennent un courrier légitime qui circule l’argent sur Internet (du genre newsletter ou courrier publicitaire) et remplacent tous les liens présents dans ce courrier.
En général, cela renvoie vers des arnaques à deux balles (« félicitations, vous avez gagné un iPhone 14! »), mais certains renvoyaient vers des fausses pages d’authentification génériques (connectez avec Google, Facebook,…).
Je pense que le but de la manœuvre est de passer à travers les filtres Spams et phishing (et cela a l’air de réussir).
PS: j’ouvre ces liens dans une VM pour pouvoir signaler le site de destination final.

LeToi

Mauvaise formulation c’est sur, « il trouve des adresses mail à qui envoyer des messages/mails » je suppose ^^

arnaques_tutoriels_aide_informatique_tests

Ca m’arrive de le faire aussi ou dans une sandbox ^^

Essylt

1 je n’ai pas compris comment il arrive à attaquer avec une adresse légitime, ce n’est pas parce je m’inscrit sur PayPal que je peux envoyer un message de Paypal.
2 quel est le risque quand on ouvre un lien de hameçonage, si on ne donne pas d’info ?
Merci !

Krypton_80

D’après ce que j’en ai compris, il s’agit d’une adresse électronique (pour envoyer et recevoir des courriels), pas d’une adresse internet de type URL. En créant un compte sur un service, on peut aussi créer une e-adresse et lui donner le nom que l’on veut (la partie avant @). Le nom de domaine et l’extension de cette adresse électronique sera donc en rapport avec le service utilisé.

Le risque sera principalement de recevoir encore plus de courriels contenant ce genre de liens, car cela signalera au(x) pirate(s) que ton adresse électronique est valide et active. Si ces messages contiennent des images en ligne, ton ordinateur sera identifié, par ex. son adresse IP. Ouvrir un lien même sans donner d’info peut quand même télécharger à l’insu de l’internaute un fichier vérolé.