Nous ne sommes pas nouveaux dans les attaques de phishing. Il s’agit de cyberescroqueries dans lesquelles les attaquants usurpent l’identité d’entités de confiance via des e-mails, des SMS ou des appels pour inciter les utilisateurs à révéler des données sensibles telles que des mots de passe, des informations de carte de crédit, etc. Dans un de ces cas, les services Google de confiance sont à nouveau devenus le centre d’une campagne d’hameçonnage. Il incite les utilisateurs à cliquer sur des liens malveillants et à divulguer leurs informations de connexion.
Une nouvelle campagne d’escroquerie par phishing usurpe l’identité des services Google de confiance
Dans un nouveau rapport, les chercheurs en cybersécurité de Check Point révèlent que les fraudeurs ont envoyé près de 9 400 e-mails, ciblant environ 3 200 entreprises en l’espace de deux semaines. Tous ces messages auraient été envoyés depuis le compte de messagerie »[email protected].» Cela signifie que les attaquants abusaient de l’intégration de Google Cloud Application.
Pour ceux qui ne le savent pas, il s’agit d’un service Google Cloud géré qui connecte les applications, les API et les sources de données sans avoir besoin d’écrire du code personnalisé. Cela permet aux organisations d’automatiser les flux de travail entre les services cloud, les applications SaaS et les systèmes internes à l’aide de connecteurs, de déclencheurs et d’actions prédéfinis. Les e-mails générés via l’intégration de Google Cloud Application proviennent d’infrastructures et de domaines appartenant à Google.
Dans les escroqueries par phishing, les acteurs malveillants peuvent créer ou compromettre un projet Google Cloud et configurer un flux de travail d’intégration qui envoie des e-mails via les API Gmail ou d’autres services de messagerie connectés. En termes simples, il s’agit d’un abus plutôt que d’une violation de l’infrastructure de Google.
La majorité des victimes étaient aux États-Unis
Pour rendre les e-mails plus crédibles, les attaquants se sont apparemment assurés que les messages respectaient le style, la langue et même le formatage de Google. Ces e-mails ont attiré les utilisateurs avec des messages vocaux en attente ou des notifications concernant la réception d’un document (exemple de véritables e-mails de phishing ci-dessous). Les liens contenus dans ces e-mails mènent à storage.cloud.google.com, qui est un service Google Cloud de confiance. Il redirige ensuite vers googleusercontent.com, où les utilisateurs doivent transmettre un faux CAPTCHA conçu pour bloquer les scanners de sécurité.
Enfin, le lien redirige vers une fausse page de connexion Microsoft, les incitant à divulguer leurs informations de connexion. Les attaquants capturent toutes les informations d’identification saisies par les utilisateurs à cette étape, complétant ainsi la chaîne de phishing. Il semblerait que la majorité des victimes se trouvaient aux États-Unis – 48,6 %. Environ 19,6 % d’entre eux travaillaient dans le secteur manufacturier/industriel, 18,9 % dans la technologie/SaaS et 14,8 % dans la finance/banque/assurance. Après les États-Unis, viennent l’Asie-Pacifique (20,7 %) et l’Europe (19,8 %).
Pour ce que ça vaut, Google a déclaré à Check Point que « plusieurs campagnes de phishing » abusant de l’intégration de Google Cloud Application étaient déjà bloquées. « Il est important de noter que cette activité résulte d’un abus d’un outil d’automatisation du flux de travail et non d’une compromission de l’infrastructure de Google. Bien que nous ayons mis en place des protections pour défendre les utilisateurs contre cette attaque spécifique, nous les encourageons à rester prudents, car les acteurs malveillants tentent fréquemment d’usurper des marques de confiance. Nous prenons des mesures supplémentaires pour empêcher toute nouvelle utilisation abusive», aurait déclaré le géant de la technologie.
