Des pirates utilisent les commentaires des Google Docs pour des campagnes de phishing. Un moyen ingénieux de contourner les filtres de spam de Gmail.

Tous les moyens sont bons pour réaliser une campagne de phishing. Et on ne peut pas dire que les pirates manquent d’inventivité : certains se mettent même à utiliser les commentaires de Google Docs, le service de traitement de texte en ligne gratuit du géant américain, pour tenter d’arnaquer des utilisateurs de Gmail peu consciencieux. Ce qui représente un vivier conséquent dans la mesure où Google suite revendiquait 2 milliards d’utilisateurs mensuels actifs en 2020.

Un procédé très efficace

L’arnaque, observée par Avanan en décembre 2021 et repérée par le média spécialisé The Record, est d’une facilité déconcertante. Le hacker mal intentionné crée un Google Doc, avant d’ajouter en commentaire du document un lien malveillant comme dans un phishing traditionnel. Le pirate peut alors utiliser la commande «@» pour mentionner un utilisateur Gmail, qui recevra automatiquement un mail avec le lien vers le Google Doc, mais aussi directement l’arnaque dans la prévisualisation du commentaire.

Capture phishing google doc

Pourquoi utiliser cette technique plutôt qu’un simple mail ? D’abord, comme le remarque Avanan, car ce procédé très efficace permet d’envoyer un lien sans que le pirate n’ait à dévoiler sa propre adresse mail. Adresse (souvent loufoque) qui pourrait alerter la victime.

À la place, un nom choisi par l’attaquant s’affiche en haut du mail. Nom qui pourrait facilement se faire passer pour un membre de l’entourage ou de l’entreprise de la cible. D’après les tests réalisés par Cyberguerre, même quand un service mail d’entreprise basé sur Gmail signale d’habitude les messages extérieurs à l’entreprise, le commentaire malveillant n’est pas signalé comme étranger.

Un autre avantage pour le pirate est que le mail automatique qui signale qu’un commentaire mentionne l’utilisateur cible est envoyé directement par Google, et ne peut donc pas être facilement signalé comme spam sans blacklister toute l’infrastructure de Google.

Comment lutter contre cette technique de phishing ?

Des règles d’hygiène numérique basiques permettent d’éviter de tomber dans ce genre d’arnaques. D’abord de ne jamais cliquer sur un lien que vous ne connaissez pas et qui pourrait être malveillant. Ensuite de toujours vérifier l’URL sur laquelle vous êtes avant d’y entrer des informations confidentielles, pour éviter de transmettre des données sensibles à une copie de site créée par un pirate. Une simple recherche Google, où le site légitime sera le mieux référencé, permet de comparer.

Et enfin, dans le cas présent, les pirates peuvent essayer de faire des commentaires réalistes en se faisant passer pour des collègues ou des proches. Il est donc important de toujours vérifier avec votre interlocuteur que c’est bien lui qui vous mentionne dans un document Google Doc avant de cliquer dessus ou d’y répondre.