Google a confirmé que son système de vérification des emails avait été contourné. En d’autres termes, les acteurs malveillants ont pu contourner les protocoles de sécurité.
Google reconnaît que la vérification des e-mails a été contournée
Google dispose d'un système de vérification des e-mails simple mais extrêmement robuste et fiable qui permet de confirmer la propriété d'un compte de messagerie. Cependant, les acteurs malveillants pourraient contourner ce processus pour s'associer frauduleusement à des comptes légitimes.
Cette faille de sécurité a permis aux pirates de créer des comptes Google Workspace. De plus, des acteurs malveillants ont accédé à des services tiers sans l'intervention du véritable propriétaire du compte Google.
🚨Attention à tous ! Des escrocs ont trouvé un moyen sournois de contourner la vérification des e-mails de Google pour les comptes Workspace, en accédant à des services tiers ! Lisez l'article complet ici : https://t.co/ucHpfh9BUv #La cyber-sécurité #GoogleWorkspace
— Frank Cisco 🌟 (@fcarmona) 26 juillet 2024
Google a reconnu être au courant du nouvel exploit en publiant une déclaration, a rapporté KrebsOnSecurity:
« Au cours des dernières semaines, nous avons identifié une campagne d'abus à petite échelle dans laquelle des acteurs malveillants ont contourné l'étape de vérification de l'e-mail dans notre processus de création de compte pour les comptes Google Workspace EV (Email Verified) à l'aide d'une requête spécialement conçue. Ces utilisateurs EV pouvaient ensuite être utilisés pour accéder à des applications tierces à l'aide de « Se connecter avec Google ». »
Les chercheurs de Zscaler ont observé une nouvelle activité de Kimsuky. Le groupe a utilisé une nouvelle extension de Google Chrome, « TRANSLATEXT », qui peut contourner les mesures de sécurité des fournisseurs de services de messagerie comme Gmail, Kakao et Naver (populaires en Corée du Sud) pour voler des informations. https://t.co/Qgopi4RdOM pic.twitter.com/38IciVfUsQ
— Bulletin de virus (@virusbtn) 28 juin 2024
Anu Yamunan, directrice de la protection contre les abus et la sécurité chez Google Workspace, a indiqué que l'activité malveillante avait commencé le mois dernier. Bien qu'il soit impossible de donner un chiffre exact, selon Yamunan, « quelques milliers » de comptes Workspace ont été créés sans vérification de domaine.
Comment rester protégé contre la dernière menace de sécurité ?
Google a non seulement reconnu la sécurité menace mais Le géant de la recherche a détecté l'exploit dans les 72 heures suivant sa découverte. Il affirme avoir déployé des protocoles de détection supplémentaires pour protéger les utilisateurs contre ces techniques de contournement de l'authentification.
Les internautes qui se fient à la vérification par e-mail n'ont donc pas à s'inquiéter. Que Google corrige ou non l'exploit, il serait sage de faire preuve de prudence au cours des prochaines semaines. Les internautes doivent prêter attention aux e-mails qui confirment des abonnements, des connexions ou des achats.
Démasquer *Tycoon 2FA : un kit de phishing furtif utilisé pour contourner Microsoft 365 et Google MFA : https://t.co/3DDoW1pY9h
*Tycoon 2FA : une analyse approfondie de la dernière version du kit de phishing AiTM : https://t.co/KcqpsbBEyB pic.twitter.com/N6o5I4kyDA
— Binni Shah (@binitamshah) 11 mai 2024
L'une des victimes aurait affirmé que des acteurs malveillants avaient créé un compte Workspace non autorisé. Ils ont associé un domaine légitime à ce compte et ont tenté de se connecter à des services tiers synchronisés.
Au cours des prochains jours, les internautes pourraient recevoir des courriels légitimes de fournisseurs de services authentiques les informant d'achats ou de connexions provenant d'endroits inconnus ou suspects. Il serait prudent de vérifier d'éventuels accès non autorisés et de changer les mots de passe si nécessaire.
