Une attaque au phishing particulièrement élaborée sévit depuis quelque temps contre les utilisateurs de comptes Gmail, ce qui amène amène plusieurs spécialistes à inviter le public à la prudence.

En matière de phishing — les escroqueries consistant à se faire passer pour un tiers de confiance afin de dérober les informations bancaires ou personnelles de sa cible –, la dernière arnaque en cours contre les utilisateurs de Gmail, particulièrement répandue en 2016, s’avère très efficace, au point de duper des utilisateurs chevronnés.

Comme la majorité des tentatives, cette arnaque commence par l’envoi d’un email a priori banal, provenant généralement d’un contact de notre carnet d’adresse qui a déjà été victime de ce phishing. La manœuvre frauduleuse mise sur sa prétendue pièce jointe.

En cliquant sur ce fichier a priori inoffensif — qui est en réalité une capture d’écran avec un lien et pas une véritable pièce jointe — pour en avoir un aperçu, l’utilisateur se retrouve sur une nouvelle page qui l’invite à se reconnecter à son compte Gmail. Apparence, URL (un « data:text » suivi de l’adresse « https://accounts.google.com » rassurante mais qui ouvre en fait un script)… tout semble conforme à un véritable formulaire Google. Mais en tapant son adresse et son mot de passe, la cible vient de succomber au piège.

Une victime décrit ainsi son expérience malheureuse : « Les attaquants se connectent immédiatement à votre compte dès qu’ils en ont le mot de passe, et ils utilisent l’une de vos pièces jointes, combinée à un véritable titre de mail, pour l’envoyer à vos contacts. Ils ont par exemple accédé au compte d’un élève et en ont extrait un calendrier d’entraînement sportif pour en faire une capture d’écran et l’ont ensuite associée à un titre de mail relativement en rapport pour l’envoyer aux autres membres de l’équipe. »

Google recommande la validation à deux étapes

Pour éviter de devenir la dernière victime de ce phishing élaboré, la vigilance reste de mise, notamment en vérifiant systématiquement la présence du cadenas sécurisé dans la barre d’adresse. Mais surtout en activant la validation en deux étapes : à chaque connexion à Google, en plus de votre mot de passe, vous devez saisir un code qui vous est communiqué sur votre téléphone.

Aaron Stein, de Google Communications, recommande d’ailleurs cette méthode dans un communiqué qui se veut rassurant  : «  Nous sommes au courant de ce problème et nous continuons d’améliorer notre défense. Nous contribuons à la protection des utilisateurs contre le phishing de multiples manières, notamment grâce à la détection de [mail frauduleux] par machine learning . »

Gmail permet aussi à ses utilisateurs, en quelques clics, de signaler qu’un contenu reçu dans sa boîte mail relève du phishing. Fin novembre, des professeurs et des journalistes avaient reçu une alerte de Google contre des tentatives d’intrusion.

Partager sur les réseaux sociaux