Passer au contenu

Gmail : Comment débusquer cette nouvelle attaque de phishing particulièrement vicieuse

Depuis quelques semaines, une attaque de phishing fait des ravages au sein de Gmail. Cette attaque particulièrement ingénieuse parvient à inciter les utilisateurs à donner leur mot de passe aux attaquants en passant par l’intégration d’une fausse pièce jointe.

Crédit image : Brian Klug
Crédit image : Brian Klug

Que feriez-vous si l’un de vos proches vous envoyait un email lapidaire intitulé « voici le pdf demandé », avec le pdf en question attaché ? La tentation de cliquer sur cette pièce jointe est évidemment forte : pour peu que vous ayez un antivirus, que peut-il se passer avec un simple fichier pdf ?

L'email de phishing en question reçu par Greggman.
L’email de phishing en question reçu par Greggman.

Un simple email avec un bête pdf

La réponse est évidemment : rien. Et c’est ce qu’ont pensé toutes les victimes de cette attaque. Mais ceux qui ont pensé cette nouvelle technique de phishing ont été très malins. Un clic sur la pièce jointe renvoie en effet l’utilisateur sur une page Google Drive — qui serait nécessaire pour visualiser le fichier — qui demande à l’utilisateur de s’identifier. La suite, vous pouvez la deviner, l’attaquant s’est emparé de son compte et a envoyé à tous ses contacts le même email d’hameçonnage.

Le blogueur américain Greggman — qui se présente pourtant comme quelqu’un qui a l’habitude d’utiliser Internet — s’est fait avoir par cette technique et raconte en détails ce qu’il s’est passé sur son blog. L’email en question contient en effet une pièce jointe. Cette pièce jointe est en fait une image intégrée dans le mail et associée à un lien. Un clic sur l’image renvoie donc automatiquement sur une page web, dont l’url, contient https://accounts.google.com. Sans faire attention, on pourrait donc penser qu’il s’agit bien du site de Google. Sauf que le début de l’url contient data:text/html, qui fait référence à une page personnelle montée de toute pièce, contenant un script qui va s’emparer automatiquement du compte et du mot de passe de la victime.

Des indices trop peu signalés par Gmail et Chrome

Le problème dans cette attaque c’est qu’il faut avoir les yeux très grands ouverts pour se rendre compte qu’il s’agit d’une attaque (au-delà du fait qu’un proche vous envoie un email avec une pièce jointe sans que vous n’ayez rien demandé). Gmail n’indique nulle part que la fausse pièce jointe est une image. Chrome n’indique pas que la page de phishing n’est pas sécurisée (avec un cadenas rouge ou vert par exemple). Et l’url de la page en question peut berner même le plus aguerri des utilisateurs d’Internet.

La page sur laquelle l'utilisateur se retrouve lorsqu'il clique sur la pièce jointe du mail. Notez l'url, trompeuse.
La page sur laquelle l’utilisateur se retrouve lorsqu’il clique sur la pièce jointe du mail. Notez l’url, trompeuse.

Pour éviter de tomber dans des pièges aussi vicieux, il n’y pas des milliers de solutions. La plus simple est d’activer la double authentification sur son compte Google, de telle façon que lorsque quelqu’un se connecte à votre compte, un email ou SMS avec un code vous soit envoyé. Pour les plus paranoïaques, l’utilisation d’un gestionnaire de mot de passe est également ce qui se fait de mieux pour ne pas se faire voler son mot de passe. Enfin, si vous avez un doute, regardez toujours à deux fois l’url de la page sur laquelle vous vous apprêtez à entrer votre mot de passe. Plus facile à dire qu’à faire, on est bien d’accord.

🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.

19 commentaires
  1. Franchement j’y vois rien de si exceptionnel. Déjà le mail de base s’il contient aussi peu a moins que ma connaissance me parle au même moment de m’envoyer un fichier je supprime directement.

    Et le deuxième point l’url est clairement incorrecte et en plus sans https. Je vois vraiment pas grand chose qui laisse de doute sur la mauvaise nature du tout. Cela pourra surement prendre au piège des individus lambda, comme toujours, par contre

  2. « Et l’url de la page en question peut berner même le plus aguerri des utilisateurs d’Internet. »

    Non. Je n’y connais pas grand chose, mais quand l’URL commence par “data:text”, je sais qu’il y a un truc bizarre et que ce n’est pas une page web.

    1. Ben, justement, non. Jette un oeil au blog du mec que je cite. Il explique bien qu’il n’a rien vu. Perso, ça pourrait très bien m’arriver dans un moment d’inattention.

      1. C’est pas par ce que CE mec n’a rien vu que ça en devient une vérité universelle. Un mec qui est un minimum attentif se fera rarement avoir avec ce genre de truc. Et jamais pour “le plus aguerri des utilisateurs d’Internet” (que l’on peut appeler SuperWebMan).

  3. Ou tout simplement de se demander pourquoi Google redemanderait un login / mot de passe alors même qu’on est loggé dans Gmail ….

    1. Oui je me suis fait la même réflexion, vu qu’il viens de Gmail tous les services de Google utilise le même compte donc pas de raison qu’il redemande le mot de passe et encore moins le login !

      1. J’utilise plusieurs comptes aussi.

        Mais une fois que je suis loggé dans Gmail avec un compte, Google ne me redemande pas de login pour un autre service (Drive, Calendar, Keep….).

    2. Il arrive assez souvent que Google redemande le mot de passe.
      Sous Outlook/hotmail, c’est pire, une fois sur trois, le système demande d’être loggué de nouveau.

      1. Comme pour jonathan, si vous êtes dans un onglet Gmail, vous pouvez utiliser tous les autres services de Google sans vous reloggez. Sauf peut-être en navigation privée ?

  4. Il faut vraiment tomber sur le gars qui attend vraiment un PDF de la part d’un de son proche qui comme par hasard est celui qui s’est fait hacké. !! Ou alors un idiot tout court, pas assez malin pour se dire ” Ah non, je n’attends pas de PDF de cette personne ?”

    1. Non ce n’est pas de l’idiotie, simplement un manque de connaissance sur internet et l’informatique de manière général.

  5. Franchement, n’hésitez vraiment pas à utiliser la double authentification ! Ce n’est pas contraignant, c’est uniquement quand vous voulez vous loguer à vos comptes google à partir d’une nouvelle machine que le sms (ou autre) vous sera envoyé pour valider que c’est bien vous. Du coup, sur votre portable, votre ordi perso ou de bureau, vous ne le ferez qu’une fois, c’est simple.
    C’est vraiment une bonne solution.

  6. Bonjour ce mail j’ai reçu en décembre 2016, je savais que c’était du fishing car d’abord j’attendais aucun fichier pdf et le message était en anglais (Man WE are in France WE speak french) j’ai quand même ouvert le fichier cliquer sur le lien et j’ai signalé en tant que spam signalé sur le site du gouvernement et à google. Si une personne tombe dans ce piège soit il attendait vraiment un fichier pdf ou soit il est con (de base) dans ce cas il a rien à faire devant un ordinateur.

  7. Très sincèrement beaucoup de gens pourrait cliquer sur le “PDF” ce n’est pas parce que la majorité d’entre vous ne reçoivent que très peu d’email que c’est une généralité, je reçois régulièrement des pdf importants de contact connu ou non. L’URL c’est une autre histoire, l’adresse est évidemment douteuse, mais dans un moment d’inattention ça peut passer…

  8. j’ai reçu un mail du genre.. d’un ami décédé,ca fait toujours un choc quand on voit un mail avec le nom de la personne et (salut ca fait un moment que on c’est pas vu) en objet.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *