Une vaste campagne de phishing touche actuellement les utilisateurs de Google Docs. Dans un courrier, ils sont invités à visualiser un document sur le service, derrière lequel se cache en fait un site malveillant.
L’attaque commence par l’envoi d’un courrier à la victime. Elle y trouve un lien vers un document apparemment stocké sur Google Docs, avec un texte invitant simplement à aller voir. Simple et direct, mais probablement efficace seulement si le mail provient d’un contact un tant soit peu connu.
L’ouverture du lien affiche une fenêtre de connexion de compte Google. Nul besoin d’entrer le mot de passe, il suffit de sélectionner le compte qui servira pour l’utilisation de Docs. Une fois sélectionné, la fenêtre change et demande confirmation pour « autoriser Google Docs » à gérer le compte Gmail (lecture, envoi, suppression…) ainsi que les contacts. Si l’utilisateur accepte, l’attaque a fonctionné.
Des signes discrets mais bien présents
Rien dans ce que voit l’utilisateur n’est en fait vrai, ce qui est la base (bien sûr) d’une attaque de type phishing. Plusieurs éléments peuvent cependant montrer qu’il s’agit d’une arnaque. Le fait par exemple que l’email est particulièrement succinct et peut provenir d’une adresse que l’on ne connait pas. On ne répètera jamais assez la règle en la matière : ne jamais ouvrir une pièce jointe ou cliquer sur un lien si l’expéditeur est inconnu.
Ensuite, la fenêtre d’autorisation peut être étrange selon les cas. Si vous avez déjà utilisé Google Docs, il n’y a aucune raison pour que cette confirmation apparaisse. Le document devrait ainsi s’ouvrir directement. Autre élément, l’adresse qui se cache derrière « Google Docs ». Il s’agit d’un compte Gmail semblant appartenir à un particulier. Dans le même panneau, on se rend également compte que l’adresse de redirection est « googledocs.g-cloud.pro » ou « .info » selon les cas.
La faute en partie à Google
D’où vient exactement le problème ? De Google, en partie. L’attaque est sophistiquée : il est facile d’être trompé si l’on n’est pas habitué à de telles méthodes. Elle se base sur la propre infrastructure de Google et tire parti d’un manque de surveillance sur les noms choisis pour les applications web non-Google. Dans le cas présent, le ou les pirates ont réussi à nommer la leur « Google Docs », en abusant ensuite du mécanisme d’authentification OAuth.
We've addressed the issue with a phishing email claiming to be Google Docs. If you think you were affected, visit https://t.co/O68nQjFhBL. pic.twitter.com/AtlX6oNZaf
— Google Docs (@googledocs) 3 mai 2017
Google a évidemment réagi. Un tweet publié cette nuit indique que les fausses pages ont été supprimées et qu’une mise à jour de Safe Browsing a été déployée pour tenir compte de ces attaques. L’entreprise indique qu'elle a touché moins de 0,1 % des utilisateurs de Gmail. Elle est cependant liée à une technique dévoilée la semaine dernière par Trend Micro, et utilisée par un groupe de pirates nommé Pawn Storm.
Google ne l’évoque pas, mais une nouvelle mouture de l’application Gmail pour Android est également en cours de déploiement. Elle contient justement un renforcement de la protection anti-phishing, en plus de permettre aux comptes non-Gmail de marquer des emails comme spams.
