En matière de phishing — les escroqueries consistant à se faire passer pour un tiers de confiance afin de dérober les informations bancaires ou personnelles de sa cible –, la dernière arnaque en cours contre les utilisateurs de Gmail, particulièrement répandue en 2016, s’avère très efficace, au point de duper des utilisateurs chevronnés.
Comme la majorité des tentatives, cette arnaque commence par l’envoi d’un email a priori banal, provenant généralement d’un contact de notre carnet d’adresse qui a déjà été victime de ce phishing. La manœuvre frauduleuse mise sur sa prétendue pièce jointe.
En cliquant sur ce fichier a priori inoffensif — qui est en réalité une capture d’écran avec un lien et pas une véritable pièce jointe — pour en avoir un aperçu, l’utilisateur se retrouve sur une nouvelle page qui l’invite à se reconnecter à son compte Gmail. Apparence, URL (un « data:text » suivi de l’adresse « https://accounts.google.com » rassurante mais qui ouvre en fait un script)… tout semble conforme à un véritable formulaire Google. Mais en tapant son adresse et son mot de passe, la cible vient de succomber au piège.
https://twitter.com/tomscott/status/812265182646927361
Une victime décrit ainsi son expérience malheureuse : « Les attaquants se connectent immédiatement à votre compte dès qu’ils en ont le mot de passe, et ils utilisent l’une de vos pièces jointes, combinée à un véritable titre de mail, pour l’envoyer à vos contacts. Ils ont par exemple accédé au compte d’un élève et en ont extrait un calendrier d’entraînement sportif pour en faire une capture d’écran et l’ont ensuite associée à un titre de mail relativement en rapport pour l’envoyer aux autres membres de l’équipe. »
Google recommande la validation à deux étapes
Pour éviter de devenir la dernière victime de ce phishing élaboré, la vigilance reste de mise, notamment en vérifiant systématiquement la présence du cadenas sécurisé dans la barre d’adresse. Mais surtout en activant la validation en deux étapes : à chaque connexion à Google, en plus de votre mot de passe, vous devez saisir un code qui vous est communiqué sur votre téléphone.
Aaron Stein, de Google Communications, recommande d’ailleurs cette méthode dans un communiqué qui se veut rassurant : « Nous sommes au courant de ce problème et nous continuons d’améliorer notre défense. Nous contribuons à la protection des utilisateurs contre le phishing de multiples manières, notamment grâce à la détection de [mail frauduleux] par machine learning .»
Gmail permet aussi à ses utilisateurs, en quelques clics, de signaler qu’un contenu reçu dans sa boîte mail relève du phishing. Fin novembre, des professeurs et des journalistes avaient reçu une alerte de Google contre des tentatives d’intrusion.
Nouveauté : Découvrez
La meilleure expérience de Numerama, sans publicité,
+ riche,
+ zen,
+ exclusive.
Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !
