Les criminels usurpent les e-mails de Google Agenda dans le cadre d’une expédition de phishing à motivation financière qui a déjà touché environ 300 organisations avec plus de 4 000 e-mails envoyés sur quatre semaines, selon les chercheurs de Check Point.
Les criminels modifient les en-têtes des e-mails de l’expéditeur afin que les messages semblent être des invitations Google Agenda légitimes envoyées par une personne connue de la victime. C’est un bon leurre, du point de vue des fraudeurs, car plus de 500 millions de personnes utilisent Google Agenda.
Les e-mails de phishing incluent généralement un [.]Fichier de calendrier ics avec un lien vers Google Forms ou Google Drawings. Une fois que le destinataire clique sur le lien, il est invité à cliquer sur un autre, qui, selon Check Point, est généralement déguisé en reCAPTCHA ou en bouton d’assistance.
Alerte spoiler : c’est faux. Une fois que la victime clique sur le lien malveillant, elle atterrit sur ce qui ressemble à une page d’assistance pour l’extraction de crypto-monnaie ou Bitcoin.
« Ces pages sont en réalité destinées à commettre des escroqueries financières », affirment les chasseurs de menaces. expliqué dans un blog sur la campagne de phishing. « Une fois que les utilisateurs accèdent à cette page, il leur est demandé d’effectuer un faux processus d’authentification, de saisir des informations personnelles et éventuellement de fournir des détails de paiement. »
Check Point a contacté Google au sujet des e-mails de phishing, et voici ce que le géant de la technologie a suggéré :
Le magasin de sécurité propose ses propres conseils pour éviter d’être victime de cette campagne de phishing et d’autres campagnes de phishing, notamment en prenant des précautions supplémentaires lors de la réception d’invitations à un événement comportant des étapes et des demandes « inattendues » ou « inhabituelles », comme par exemple compléter un puzzle CAPTCHA.
Aussi, « réfléchissez avant de cliquer ». Survolez les liens, puis saisissez l’URL dans Google plutôt que de simplement cliquer dessus. Le but de la plupart des hameçonnages est d’inciter les utilisateurs à cliquer sur des liens ou des pièces jointes malveillants, ce qui permet ensuite aux criminels de voler des informations d’identification et de les utiliser pour accéder à des documents sensibles, des informations personnelles ou des comptes financiers.
De plus, c’est toujours une bonne idée d’activer l’authentification à deux facteurs pour les comptes Google – ou pour tout référentiel contenant des informations sensibles, en fait.
Rien que l’année dernière, le FBI reçu [PDF] 298 878 plaintes de victimes de phishing et/ou d’usurpation d’identité, coûtant aux victimes 18 728 550 $ de pertes totales.
L’essentiel est que ces types d’attaques d’ingénierie sociale fonctionnent. Ils sont relativement simples à mettre en œuvre pour les criminels et génèrent un retour sur investissement important.
Bien que Google Agenda soit l’un des derniers leurres, les attaquants peuvent modifier et modifient effectivement leurs méthodes d’attaque en fonction de l’endroit où ils recherchent de nouvelles victimes. Ne tombez pas dans le piège. ®