Une nouvelle campagne d'attaque tente d'obtenir les identifiants Gmail des utilisateurs et exploite immédiatement ces informations pour voler l'accès aux comptes des victimes.
L'attaque commence lorsqu'un utilisateur reçoit un courriel sur son compte Gmail. L'e-mail peut provenir d'une personne que le destinataire connaît peut-être, mais dont le compte a déjà été compromis par les attaquants. Comme pour la plupart des campagnes de phishing, il est accompagné d'une pièce jointe. La plupart des e-mails d'attaque semblent contenir une image jointe que le destinataire connaît.
On pourrait penser qu'en cliquant sur l'image, un aperçu s'afficherait. Mais ce n'est pas le cas. Mark Maunder, directeur général de WordFence, explique dans un billet de blog:
"Au lieu de cela, un nouvel onglet s'ouvre et Gmail vous demande de vous reconnecter. Vous jetez un coup d'œil à la barre d'adresse et vous y voyez accounts.google.com. Cela ressemble à ça...."
La dernière chose qu'un utilisateur souhaite faire est de se connecter en utilisant cette page de connexion Google convaincante (mais fausse). En effet, les attaquants obtiendraient ainsi leurs identifiants de connexion à Gmail. Pire encore, s'ils obtiennent ces informations, les attaquants ne perdent pas de temps à les utiliser pour compromettre le compte de l'utilisateur et distribuer des e-mails de phishing à certains de ses contacts.
Comme le décrit un commentateur de Hacker News:
"Les attaquants se connectent à votre compte immédiatement après avoir obtenu les informations d'identification, et ils utilisent l'une de vos pièces jointes réelles, avec l'une de vos lignes d'objet réelles, et l'envoient aux personnes de votre liste de contacts."
"Par exemple, ils ont accédé au compte d'un étudiant, ont extrait une pièce jointe contenant le programme d'entraînement d'une équipe de sport, ont généré une capture d'écran, l'ont associée à une ligne d'objet qui avait un rapport indirect avec le sujet et l'ont envoyée par courriel aux autres membres de l'équipe de sport."
Pour se protéger contre cette campagne d'attaque, les utilisateurs doivent d'abord examiner de plus près la barre d'adresse d'une page de connexion Google avant de se connecter. La page de connexion de Google ne devrait rien afficher dans la barre de caractères avant "accounts.google.com", à part "https://".
L'utilisation de "data:text/html" indique que l'escroquerie utilise un fichier, c'est-à-dire une fausse page de connexion Gmail.
Les utilisateurs doivent également activer la vérification en deux étapes sur leurs comptes. Cette fonction permettra de protéger les comptes des utilisateurs, même si quelqu'un vole leur nom d'utilisateur et leur mot de passe.
Dans le même temps, les organisations doivent contribuer à éduquer leurs employés sur les escroqueries par phishing. Les campagnes de phishing simulées permettent souvent de faire comprendre aux utilisateurs qu'ils doivent se méfier des courriels suspects. Les organisations peuvent concevoir et envoyer ces courriels à l'aide d'un logiciel tiers de formation à la sensibilisation à la sécurité.
Cette solution vous intéresse-t-elle ?
Si tel est le cas, contactez Metacompliance dès aujourd'hui et découvrez comment ses simulations de phishing peuvent vous aider à faire passer la sécurité des comptes de vos employés au niveau supérieur.
