Une campagne de phishing de grande ampleur ciblant des comptes Google s’est répandue sur Internet hier soir.
De nombreuses personnes travaillant dans diverses industries (journalisme, édition, recherche, notamment) ont rapporté avoir reçu des emails contenant ce qui ressemblait à un lien Google Docs émanant d’un contact familier. Hélas, il s’agissait d’emails frauduleux destinés à prendre le contrôle de leur compte.
Videos by VICE
Si vous avez été victime de ce piège, allez sur votre compte Google (https://myaccount.google.com/permissions) et révoquez les permissions de toutes les applications qui vous semblent louches. Vous pouvez aussi faire une vérification de vos paramètres de sécurité étape par étape. Repérez maintenant l’application « Google Docs ». Elle vous semble parfaitement normale, mais pourtant, elle ne l’est pas. Il s’agit de la fameuse application frauduleuse qui se fait passer pour une app officielle, et à laquelle vous avez sans le vouloir autorisé l’accès à votre compte Google. Cliquez à présent sur « supprimer ».
Les emails malveillants ressemblent à l’exemple posté ci-dessous et sont adressés à hhhhhhhhhhhhhhhh@mailinator.com ainsi qu’à des destinataires cachés.
De nombreux employés de VICE ont reçu cet email, qui continue de se propager. Ils proviennent d’une personne que vous connaissez et avec qui vous avez l’occasion de partager des fichiers Google Docs d’ordinaire. Si vous le recevez (sur votre compte de messagerie professionnel, généralement), alertez votre département informatique.
On ne sait pas encore comment fonctionne cette attaque pour le moment, mais elle semble très sophistiquée. Un utilisateur de Reddit a simulé ce qui arrive lorsque l’on clique sur le lien malveillant dans cette animation :
Cliquer sur le lien vous redirigera vers un écran qui semble appartenir au nom de domaine officiel de Google. En réalité, la page vous demande une autorisation d’accès à une application Google Docs qui n’est pas authentique.
Cette dernière s’applique ensuite à lire vos emails et la liste de vos contacts, puis infecte les contacts pertinents. Nous avons reçu des informations selon lesquelles Google Drive aurait été hors ligne durant un certain laps de temps, mais il est pour le moment impossible de déterminer si cette panne était en lien avec l’attaque.
Une heure environ après les premières alertes concernant la campagne de phishing, Google a pris les premières mesures pour empêcher les emails de se propager. Il a annoncé que le « problème était désormais réglé », ce qui est confirmé par d’autres observations : il y a quelques heures, certains utilisateurs ont cliqué sur le lien malveillant sans que cela n’ait aucun effet.
« Nous avons pris toutes les mesures nécessaires afin de protéger nos utilisateurs contre des emails proposant des liens Google Docs malveillants », nous explique Google. « Nous avons effacé les fausses pages, mis à jour Safe Browsing, et nos équipes travaillent actuellement à empêcher la survenue de toute attaque similaire à l’avenir. Nous encourageons nos utilisateurs à rapporter toute tentative de phishing sur leur compte. »
Nous enquêtons actuellement pour trouver la source de cette attaque, et connaître les intentions des attaquants.