Connexion
Abonnez-vous

Google bloque une importante campagne de phishing visant Docs

Et bien réalisée qui plus est

Google bloque une importante campagne de phishing visant Docs

Le 04 mai 2017 à 07h55

Une vaste campagne de phishing touche actuellement les utilisateurs de Google Docs. Dans un courrier, ils sont invités à visualiser un document sur le service, derrière lequel se cache en fait un site malveillant.

L’attaque commence par l’envoi d’un courrier à la victime.  Elle y trouve un lien vers un document apparemment stocké sur Google Docs, avec un texte invitant simplement à aller voir. Simple et direct, mais probablement efficace seulement si le mail provient d’un contact un tant soit peu connu.

L’ouverture du lien affiche une fenêtre de connexion de compte Google. Nul besoin d’entrer le mot de passe, il suffit de sélectionner le compte qui servira pour l’utilisation de Docs. Une fois sélectionné, la fenêtre change et demande confirmation pour « autoriser Google Docs » à gérer le compte Gmail (lecture, envoi, suppression…) ainsi que les contacts. Si l’utilisateur accepte, l’attaque a fonctionné.

google docs phishing

Des signes discrets mais bien présents 

Rien dans ce que voit l’utilisateur n’est en fait vrai, ce qui est la base (bien sûr) d’une attaque de type phishing. Plusieurs éléments peuvent cependant montrer qu’il s’agit d’une arnaque. Le fait par exemple que l’email est particulièrement succinct et peut provenir d’une adresse que l’on ne connait pas. On ne répètera jamais assez la règle en la matière : ne jamais ouvrir une pièce jointe ou cliquer sur un lien si l’expéditeur est inconnu.

Ensuite, la fenêtre d’autorisation peut être étrange selon les cas. Si vous avez déjà utilisé Google Docs, il n’y a aucune raison pour que cette confirmation apparaisse. Le document devrait ainsi s’ouvrir directement. Autre élément, l’adresse qui se cache derrière « Google Docs ». Il s’agit d’un compte Gmail semblant appartenir à un particulier. Dans le même panneau, on se rend également compte que l’adresse de redirection est « googledocs.g-cloud.pro » ou « .info » selon les cas.

La faute en partie à Google

D’où vient exactement le problème ? De Google, en partie. L’attaque est sophistiquée : il est facile d’être trompé si l’on n’est pas habitué à de telles méthodes. Elle se base sur la propre infrastructure de Google et tire parti d’un manque de surveillance sur les noms choisis pour les applications web non-Google. Dans le cas présent, le ou les pirates ont réussi à nommer la leur « Google Docs », en abusant ensuite du mécanisme d’authentification OAuth.

Google a évidemment réagi. Un tweet publié cette nuit indique que les fausses pages ont été supprimées et qu’une mise à jour de Safe Browsing a été déployée pour tenir compte de ces attaques. L’entreprise indique qu'elle a touché moins de 0,1 % des utilisateurs de Gmail. Elle est cependant liée à une technique dévoilée la semaine dernière par Trend Micro, et utilisée par un groupe de pirates nommé Pawn Storm.

Google ne l’évoque pas, mais une nouvelle mouture de l’application Gmail pour Android est également en cours de déploiement. Elle contient justement un renforcement de la protection anti-phishing, en plus de permettre aux comptes non-Gmail de marquer des emails comme spams. 

Commentaires (6)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

ah oui quand même, chez nous c’est même le chef de l’IT qui à envoyer un mail à toue la COGIP



les solution google en cogip…

votre avatar



D’où vient exactement le problème ? De Google, en partie. L’attaque

est sophistiquée : il est facile d’être trompé si l’on n’est pas habitué

à de telles méthodes. Elle se base sur la propre infrastructure de

Google et tire parti d’un manque de surveillance sur les noms choisis pour les applications web non-Google. Dans le cas présent, le ou les

pirates ont réussi à nommer la leur « Google Docs », en abusant ensuite

du mécanisme d’authentification OAuth.





Ça me semble facile de dire ça, je ne vois pas vraiment ce qu’aurait pu faire Google. Même s’ils avaient interdit d’utiliser le mot “Google” dans les noms d’applications, ça n’aurait pas empêché les pirates d’appeler leur application “Documents”, “GDoc”, “G. Docs”, ou autre.



La seule solution est en amont, et Google a bien réagi en utilisant Safe Browsing.

votre avatar

Google pourrait clarifier beaucoup de choses:




  • indiquer qu’il s’agit d’une pplication tière clairement quand c’est le cas, et différencier fortement cet écran de l’écran de Google de base

  • indiquer la date de création de l’application et son créateur en gros

  • indiquer clairement les dangers si l’application est malseine



    Ici c’est extrèmement difficile pour un utilisateur normal de voir l’arnaque, beaucoup ont du se faire prendre.



    L’UX c’est pas seulement avoir des gros boutons, c’est aussi savoir donner la bonne information aux gens, et la GOogle ne le fait pas du tout.

votre avatar







dineptus a écrit :



Ici c’est extrèmement difficile pour un utilisateur normal de voir l’arnaque, beaucoup ont du se faire prendre.





“L’entreprise indique qu’elle a touché moins de 0,1 % des utilisateurs de Gmail.” (ce qui représente un nombre non négligeable dans l’absolu, certes)

(edit : “moins de” 900K comptes touchés tout de même)


votre avatar

+1 avec dineptus.



OAuth = donner l’accès d’un service perso à une application/site tiers.



Le formulaire de Google me semble un peu léger en terme d’information sur le “tiers” en question.

Et le fait que ce formulaire ne demande même pas de taper le mot de passe facilite les choses.

votre avatar

Une action de Microsoft, le demon

Google bloque une importante campagne de phishing visant Docs

  • Des signes discrets mais bien présents 

  • La faute en partie à Google

Fermer