Méfiez-vous de cette coûteuse attaque de piratage d’invite de récupération de Gmail.
Mise à jour du 29 décembre 2024 : cet article, initialement publié le 27 décembre, comprend désormais plus d’informations sur Gmail et d’autres attaques de compromission d’informations d’identification basées sur la messagerie électronique, un aperçu des défenses basées sur l’IA utilisées par Google pour protéger les utilisateurs de Gmail et pourquoi Google Le Programme de Protection Avancée fait partie des meilleures mesures d’atténuation des menaces de compromission des informations d’identification que vous puissiez utiliser.
L’évolution des attaques de piratage ne montre aucun signe de ralentissement, et cela semble être particulièrement vrai lorsqu’il s’agit de la combinaison de menaces miracles que sont le phishing et la compromission des comptes Gmail. Selon Les propres chiffres de GoogleGmail est le plus grand fournisseur de messagerie au monde, avec plus de 2,5 milliards d’utilisateurs. « Nous savons à quel point il est important de garantir la sécurité des boîtes de réception partout », a déclaré Google, mais les attaquants savent également comment manipuler ces utilisateurs de Gmail dans le but d’utiliser les propres défenses de Google contre eux. Le problème est que même le plus prudent de Gmail les utilisateurs en sont victimes, comme cela a été démontré dans un cas récent où la victime a tout fait correctement, du moins c’est ce qu’elle pensait. Voici ce que vous devez savoir sur cet avertissement critique d’attaque de piratage Gmail qui pourrait vous coûter cher si vous l’ignorez.
L’évolution des attaques de piratage Gmail se poursuit alors que l’IA apporte de la chaleur
Peu importe à quel point vous êtes attentif aux menaces de sécurité, à quel point vous êtes conscient des méthodes utilisées dans les attaques de phishing et à quel point vous vous sentez en sécurité dans le paysage actuel des menaces, je vous assure qu’il existe des pirates informatiques, des fraudeurs et des cybercriminels qui peuvent et vont vous prouver le contraire. Un consultant en sécurité expérimenté l’a récemment découvert lui-même après avoir été dangereusement proche d’être victime de ce qui a été décrit dans une publication virale comme un « appel d’arnaque super réaliste à l’IA ». Il a cependant eu de la chance, car son instinct de dernière minute s’est avéré correct et l’attaque a échoué. D’autres n’ont pas eu autant de chance et aucun élément alimenté par l’IA n’était même nécessaire.
Comme rapporté par le vénérable Brian Krebsanciennement du Washington Post et aujourd’hui le principal journaliste d’investigation en matière de cybersécurité, un utilisateur a confirmé comment une combinaison d’alertes de sécurité par courrier électronique, un véritable numéro de téléphone Google et, finalement, une invite de récupération Google sur son smartphone l’ont amené à être victime de un vol de crypto-monnaie de 500 000 $ après que son compte Gmail ait été compromis.
L’attaque de piratage Gmail qui a trompé un pompier en chef et pourrait tout aussi bien vous tromper
Il existe de nombreuses similitudes avec l’attaque réussie contre un pompier en chef du bataillon de la région de Seattle, telle que rapportée par Krebs, et avec le consultant en sécurité, tel que rapporté par moi-même. L’attaque a utilisé un appel téléphonique, provenant apparemment d’un véritable numéro Google, et des alertes par courrier électronique provenant d’une adresse google.com, pour avertir d’un piratage de compte Gmail en cours et inciter la cible à suivre les étapes nécessaires pour reprendre le contrôle. Le numéro de téléphone de Google était, en fait, celui utilisé par Google Assistant pour les conversations bidirectionnelles alimentées par l’IA plutôt qu’un numéro d’assistance : Google ne fournit pas d’assistance téléphonique. L’e-mail, accompagné d’un identifiant de dossier d’assistance Google, a pu utiliser une adresse Google réelle car il a été envoyé via Google Forms. Il s’agit d’un service gratuit qui permet aux utilisateurs de Google Docs d’envoyer rapidement des enquêtes, etc.
Le pompier a été informé par le pirate informatique, se faisant passer pour un représentant du support Google, qu’il recevrait une notification de récupération de compte sur son appareil pour lui permettre de stopper l’attaque et de reprendre le contrôle de son compte Gmail. Cette invite de récupération est arrivée presque instantanément et lui a demandé si c’était lui qui essayait de récupérer son compte. Certains d’entre vous ont peut-être déjà repéré le problème ici : quelqu’un d’autre peut lancer le processus de récupération de compte, et l’invite que vous recevez constitue votre dernière ligne de défense contre sa réussite.
L’attaque Gmail utilise la dernière ligne de défense contre les pirates informatiques comme « preuve » que la demande d’assistance est authentique
La victime a déclaré à Krebs qu’elle se sentait à l’aise après avoir reçu la notification de récupération promise indiquant qu’elle parlait réellement à quelqu’un chez Google. Il s’agit d’une technique d’attaque si simple et basique, sans aucune absurdité de l’IA, juste un attaquant avisé, et la grande majorité d’entre eux ne font que cela, passant par la récupération du compte pour déclencher l’apparition de cette dernière ligne de notification de défense sur le smartphone de la victime. Cependant, en cliquant sur oui, l’attaquant donne le contrôle du compte Google en question, le contrôle du compte Gmail qui l’accompagne et, dans ce cas, l’accès à Google Photos synchronisé avec ce compte Gmail. Une photo d’une phrase de départ d’un portefeuille de crypto-monnaie a été stockée à l’intérieur, ce qui a permis au pirate informatique de retirer près de 500 000 $ de fonds en un clin d’œil. Toute l’histoire de la façon dont cela s’est déroulé peut être trouvée dans le récit de Kreb.
La leçon à retenir ici est que vous devez prendre note de ce que dit Google à propos de rester à l’abri des attaquants utilisant les escroqueries par phishing sur Gmail. Plus important encore, ne vous laissez jamais précipiter par une réaction impulsive, quel que soit le degré d’urgence injecté dans une conversation. Et, par-dessus tout, ne cliquez jamais sur « oui » à une invite de récupération de compte Gmail, sauf si vous avez personnellement lancé vous-même la récupération de ce compte. Période.
Les défenses contre les menaces Gmail de Google sont sans égal
Vous serez heureux d’apprendre que Google ne reste pas les bras croisés alors que les attaques sur Gmail évoluent et se multiplient. « Cette année, nous avons développé plusieurs modèles d’IA révolutionnaires qui ont considérablement renforcé les cyber-défenses de Gmail », a déclaré Andy Wen, directeur principal de la gestion des produits de Gmail, « y compris un nouveau modèle de langage à grande échelle que nous avons formé sur le phishing, les logiciels malveillants et le spam. » Ce modèle de langage à grande échelle a utilisé à lui seul l’identification de modèles malveillants pour bloquer 20 % de spam en plus, y compris les attaques de phishing, qu’auparavant. Une nouvelle protection IA Gmail est, en fait, un superviseur des défenses existantes, « évaluant instantanément des centaines de signaux de menace lorsqu’un message à risque est signalé et déployant la protection appropriée », a déclaré Wen. Il y a trois menaces persistantes que Wen a soulignées comme étant celles à surveiller à cette période de l’année, enfin, toute l’année en fait, et il s’agit de : l’extorsion de fonds sur Gmail, la facture Gmail et les attaques de phishing de célébrités sur Gmail.
Extorsion : Cette escroquerie « vicieuse et effrayante » consiste à envoyer un e-mail contenant les détails de l’adresse du domicile de la victime. L’attaque dite « Nous savons où vous habitez ». Il existe plusieurs versions qui circulent, incluant souvent une photographie de votre maison. « Ils incluent généralement soit des menaces de blessures physiques, soit des menaces de divulgation de matériel personnel préjudiciable qu’ils prétendent avoir acquis grâce à un piratage », a déclaré Wen.
Facture : comme son nom l’indique, ces attaques impliquent l’envoi de fausses factures dans le but d’inciter le destinataire à le contacter pour contester les frais, ce qui peut être effectué moyennant des frais. Cette négociation se fait souvent par téléphone, après avoir fourni un numéro à appeler dans le message Gmail. « Ces escroqueries ne sont pas nouvelles », a déclaré Wen. « mais sont persistants et incroyablement répandus cette période des fêtes. »
Célébrité : vous pouvez probablement classer ces escroqueries dans la catégorie des usurpations d’identité de marque, mais la marque usurpée est un être humain. « Au cours du mois dernier, bon nombre des escroqueries les plus courantes font référence à des personnes célèbres », a averti Wen, « soit en prétendant venir de la célébrité elle-même, soit en prétendant qu’une célébrité donnée approuve un produit aléatoire. »
Dans l’ensemble, ce qu’il faut retenir, c’est qu’il y a eu une augmentation massive des escroqueries par phishing et que Gmail étant en tête de liste des fournisseurs de messagerie, c’est quelque chose dont tous les utilisateurs doivent être conscients.
Une augmentation massive des attaques de phishing est une raison suffisante pour utiliser le programme de protection avancée de Gmail
Un récent rapport selon lequel analysé le paysage du phishing par les analystes de renseignement sur les menaces de SlashNexta constaté une augmentation spectaculaire des attaques de compromission d’informations d’identification au cours du second semestre 2024. « Les principales conclusions du rapport SlashNext Phishing Intelligence mettent en évidence un paysage de menaces qui s’accélère en raison de l’adoption de l’IA, de l’automatisation et des méthodes d’attaque hybrides », Callie Guenther, directrice générale de recherche sur les cybermenaces à Critical Start, a déclaré. Les analystes des renseignements sur les menaces de SlashNext ont averti que cela était le signe d’une forte escalade des kits d’exploitation avancés ainsi que d’une évolution des tactiques d’ingénierie sociale. Avec de nombreux e-mails de phishing contenant un lien malveillant, c’est un peu le problème après tout ; Ce qui est effrayant, c’est que les chercheurs de SlashNext ont découvert que 80 % de ces menaces étaient des menaces Zero Day jusqu’alors inconnues. Les utilisateurs de Gmail devraient être préoccupés par le fait que le rapport fait également état d’une « augmentation massive » des menaces par courrier électronique : les attaques basées sur l’ingénierie sociale ont augmenté de 141 % au cours des six derniers mois, selon le rapport. Chaque utilisateur étant la cible d’au moins un lien appât de « phishing avancé » capable de contourner de nombreux contrôles de sécurité du réseau, chaque semaine, affirme-t-il. Pour ce que ça vaut, mon dossier spam en voit plus d’un par jour, beaucoup plus. Mais alors, je suis probablement une cible privilégiée compte tenu de mon profil. C’est pourquoi j’utilise Programme de protection avancée de Google pour assurer la sécurité de mon compte Gmail et d’autres éléments Google.
Le programme de protection avancée de Google devrait être sur le radar de tous.
Le programme de protection avancée vous oblige à utiliser un mot de passe ou une clé de sécurité matérielle afin de vérifier votre identité et de vous connecter à votre compte Gmail. En d’autres termes, la méthode de vérification la plus résistante au phishing. Cela signifie que tout utilisateur non autorisé, par exemple les pirates de phishing, ne pourra pas se connecter sans possession du mot de passe, même s’il connaît votre nom d’utilisateur et votre mot de passe. Au-delà de Gmail, le programme Advanced Protection renforce également la navigation sécurisée de Google sur Chrome en effectuant des vérifications supplémentaires et plus strictes avant chaque téléchargement. « Seules les installations d’applications provenant de magasins vérifiés », a déclaré Google, « comme Google Play Store et la boutique d’applications du fabricant de votre appareil, sont autorisées. » Ensuite, il y a le fait que le programme autorise uniquement les applications Google et les applications tierces vérifiées à accéder aux données de votre compte Google, et uniquement avec votre autorisation.
