Incidents associés
Mise à jour, 13 octobre 2024 : cet article, publié à l’origine le 11 octobre, comprend des détails sur une nouvelle initiative de l’alliance anti-arnaque de Google, un nouvel avertissement concernant les arnaques au support d’apparence légitime et des détails sur le programme de protection avancée de Google pour protéger les comptes à haut risque.
Google a mis en place des protections de plus en plus sophistiquées contre ceux qui compromettraient votre compte Gmail, mais les pirates utilisant des attaques basées sur l’IA évoluent également. Selon les propres chiffres de Google, il y a actuellement plus de 2,5 milliards d’utilisateurs du service Gmail. Il n’est donc pas étonnant qu’il soit une telle cible pour les pirates et les arnaqueurs. Voici ce que vous devez savoir.
Sam Mitrovic, consultant en solutions Microsoft, a émis un avertissement après avoir failli être victime de ce qu’il décrit comme une « arnaque par appel d’IA ultra réaliste » capable de tromper même les utilisateurs les plus expérimentés.
Tout a commencé une semaine avant que Mitrovic ne réalise la sophistication de l’attaque qui le visait. « J’ai reçu une notification pour approuver une tentative de récupération de compte Gmail », raconte Mitrovic dans un billet de blog avertissant les autres utilisateurs de Gmail de la menace en question. La nécessité de confirmer une récupération de compte, ou une réinitialisation de mot de passe, est une méthodologie d’attaque de phishing notoire destinée à diriger l’utilisateur vers un faux portail de connexion où il doit saisir ses identifiants pour signaler que la demande n’a pas été initiée par lui.
Il n’est donc pas surprenant que Mitrovic ne se soit pas laissé prendre et ait ignoré la notification qui semblait provenir des États-Unis et un appel téléphonique manqué, semblant provenir de Google à Sydney, en Australie, quelque 40 minutes plus tard. Jusque là, tout était relativement simple et facile à éviter. Puis, presque exactement une semaine plus tard, les choses sérieuses ont commencé : une autre demande de notification pour l’approbation de la récupération du compte suivie d’un appel téléphonique 40 minutes plus tard. Cette fois, Mitrovic n’a pas manqué l’appel et a plutôt décroché : une voix américaine, prétendant être du support Google, a confirmé qu’il y avait une activité suspecte sur le compte Gmail.
« Il me demande si je voyage », a déclaré Mitrovic, « lorsque j’ai dit non, il me demande si je me suis connecté depuis l’Allemagne, ce à quoi je réponds non. » Tout cela pour susciter la confiance chez l’appelant et la peur chez le destinataire. C’est à ce moment-là que les choses ont rapidement dégénéré et que le schéma général des opérations de phishing a pris une tournure plutôt astucieuse. La personne du support Google a informé Mitrovic qu’un attaquant avait accédé à son compte Gmail au cours des 7 derniers jours et avait déjà téléchargé les données du compte. Cela a sonné l’alarme lorsque Mitrovic s’est souvenu de la notification de récupération et de l’appel manqué d’une semaine plus tôt.
En cherchant sur Google le numéro de téléphone qui l'appelait pendant qu'il parlait, Mitrovic a découvert qu'il menait effectivement aux pages professionnelles de Google. Il s'agit là d'une tactique astucieuse susceptible de tromper de nombreux utilisateurs peu méfiants pris dans la panique du moment, car il ne s'agissait pas d'un numéro d'assistance Google mais plutôt d'appels de Google Assistant. « Au début de l'appel, vous entendrez la raison de l'appel et le fait qu'il provient de Google. Vous pouvez vous attendre à ce que l'appel provienne d'un système automatisé ou, dans certains cas, d'un opérateur manuel », informe utilement le lecteur sur la page 100 % authentique.
Une autre arnaque au support technique de Google alimentée par l’IA suscite un avertissement aux utilisateurs de Gmail
Garry Tan, le fondateur de la société de capital-risque et accélérateur de startups Y Combinator, s’est adressé à X, anciennement connu sous le nom de Twitter, pour émettre un avertissement concernant une autre arnaque par phishing qu’il a décrite comme étant « assez élaborée » qui exploite également l’IA afin de se présenter comme crédible. Une fois de plus, comme pour l’arnaque qui a presque trompé Sam Mitrovic, un consultant en sécurité, rappelez-vous, ce dernier avertissement concerne le contact d’un soi-disant technicien du support technique de Google. Je n’irais pas aussi loin qu’un commentateur sur X qui a suggéré que le cadeau était que Google n’a pas de support pour les utilisateurs, mais ce n’est pas si loin de la vérité quand il s’agit de ces arnaques : le support technique de Google ne vous contactera pas à l’improviste comme ça. « Ne cliquez pas sur oui dans cette boîte de dialogue », a averti Tan, « vous serez victime d’un phishing. »
Dans le cas de l’arnaque qui visait Tan, le supposé représentant du support Google a affirmé que l’entreprise avait reçu un certificat de décès et qu’un membre de sa famille tentait de récupérer son compte. En d’autres termes, l’appelant, et seule l’IA pouvait être aussi stupide, vérifiait que la personne qui répondait était en vie. « C’est un stratagème assez élaboré pour vous amener à autoriser la récupération du mot de passe », a poursuivi Tan, avant de remarquer que l’écran de récupération de compte qui lui était présenté comportait un champ d’appareil qui affichait le nom d’un agent du support Google plutôt qu’un appareil réel utilisé pour accéder au compte. Tan a suggéré que celui qui a conçu l’interface de récupération devrait utiliser des vérifications d’expressions régulières assez basiques, ou même une détection de fraude basée sur l’IA, sur le champ de texte en question. « Il est trivial de vérifier le nom de l’appareil pour cela », a-t-il conclu. Une partie de l’arnaque consistait à demander à Tan de rajouter son numéro de téléphone portable dans le cadre du processus de vérification pour déclencher une boîte de dialogue de récupération de compte. Tan était cependant bien placé pour le savoir : « J’ai été victime d’un échange de carte SIM, je ne dois donc jamais avoir mon téléphone portable sur mes comptes », a expliqué Tan.
Utilisation de Google Forms pour faire apparaître un contact comme légitime
Des fraudeurs ont également été vus en train d’abuser de Google Forms, un outil en ligne gratuit qui fait partie de Google Workspace, pour créer des documents d’apparence légitime envoyés dans le cadre d’escroqueries au support. En envoyant une copie du formulaire à l’adresse cible, en utilisant l’option de réception de réponse de Google Forms, le document est envoyé via de véritables serveurs Google, ce qui ajoute de la légitimité à l’escroquerie. La vérification de l’e-mail indiquera qu’il provient de workspacesupport@google.com par exemple, ce qui permet de réduire les signaux d’alarme que le destinataire aurait pu avoir. Une de ces escroqueries utilisait un tel formulaire pour imiter un formulaire de réinitialisation du mot de passe de récupération de compte, en indiquant à la cible qu’elle recevrait une notification par SMS d’un agent d’assistance nommé et en lui donnant le numéro à vérifier. Cette méthode de double légitimité suffit à tromper de nombreuses personnes, la plupart du temps. Dans ce cas, l’erreur, et seulement si la personne qui la reçoit était assez avisée pour s’en rendre compte, était un processus de réinitialisation de mot de passe d’une complexité déroutante et trop long.
Leçons à tirer de ces piratages manqués de peu du support Google
Mitrovic a fait ce qu’il fallait, ou du moins la meilleure chose à faire après avoir raccroché, et a demandé au supposé responsable du support d’envoyer un e-mail de confirmation – un e-mail qui est arrivé peu de temps après, provenant d’un domaine Google et qui semblait à toutes fins utiles authentique. À ce stade, il a remarqué que le champ « à » contenait une adresse astucieusement déguisée qui n’était pas réellement un domaine Google mais qui pouvait, une fois de plus, facilement tromper ceux qui n’étaient pas doués en technologie.
Le véritable indice pour Mitrovic, cependant, a été lorsque l’appelant a dit bonjour et, après l’absence de réponse, a dit bonjour à nouveau. « À ce stade, je l’ai publié comme une voix d’IA car la prononciation et l’espacement étaient trop parfaits », a déclaré Mitrovic.
Il vaut la peine de lire le blog original de Mitrovic car il contient beaucoup plus de détails techniques et de travail de détective que je n’ai pas la place de couvrir dans ce rapport. La connaissance est primordiale, et les renseignements sur les menaces fournis par ce consultant sont véritablement inestimables pour quiconque pourrait se retrouver dans une situation similaire : un homme prévenu en vaut deux.
Il est presque certain que l’attaquant aurait continué jusqu’à un point où le processus de récupération aurait été lancé, en vérité, il s’agirait d’un portail de connexion cloné capturant les identifiants de l’utilisateur et probablement de l’utilisation d’une sorte de cookie de session volant un malware pour contourner l’authentification à deux facteurs si celle-ci était en place.
Google lance le Global Signal Exchange pour lutter contre les escrocs
Google a annoncé qu’il s’est associé à la Global Anti-Scam Alliance et à la DNS Research Federation pour former une nouvelle initiative dans la lutte contre les escrocs. Le Global Signal Exchange (échange mondial de signaux) (https://www.gasa.org/global-signal-exchange) servira de plateforme de partage de renseignements en matière d’escroqueries et de fraudes, offrant un aperçu en temps réel de la chaîne d’approvisionnement de la cybercriminalité. En tant que premier membre fondateur du Global Signal Exchange, Google espère que la plateforme deviendra, en fait, un centre d’échange mondial pour le type de signaux de renseignements liés aux acteurs malveillants et à leurs attaques.
Amanda Storey, directrice principale de la confiance et de la sécurité chez Google, a déclaré que la collaboration « exploite les atouts de chaque partenaire ». GASA disposant d’un vaste réseau existant de parties prenantes intéressées et la DNS Research Foundation d’une plateforme de données avec plus de 40 millions de signaux existants, « GSE vise à améliorer l’échange de signaux d’abus, permettant une identification et une perturbation plus rapides des activités frauduleuses dans divers secteurs, plateformes et services ».
L’objectif ultime, a confirmé Google, est de créer une solution qui non seulement fonctionne à l’échelle presque impensable d’Internet lui-même, mais qui le fait de manière efficace et, surtout, conviviale. Cela signifie que les organisations qualifiées pourront l'utiliser pour riposter aux escrocs. Google a déjà une grande expérience dans ce domaine, avec une longue tradition de partenariats pour lutter contre la fraude. En effet, dans le cadre des tests du nouveau Global Signal Exchange, Google a partagé plus de 100 000 URL malveillantes et consommé un million de signaux d'escroquerie à des fins d'analyse. « Nous commencerons par partager les URL Google Shopping que nous avons traitées dans le cadre de nos politiques anti-escroqueries », a déclaré Nafis Zebarjadi, responsable produit de sécurité des comptes chez Google, « et à mesure que nous acquerrons de l'expérience grâce au pilote, nous chercherons à ajouter bientôt des données provenant d'autres domaines de produits Google pertinents. »
Le Global Signal Exchange, ou du moins le moteur qui le pilote, fonctionne sur Google Cloud pour permettre à tous les participants de partager et de consommer des signaux de renseignement tout en « bénéficiant des capacités d'IA de Google Cloud Platform pour trouver des modèles et faire correspondre les signaux de manière intelligente », a conclu Storey.
Se protéger des escroqueries les plus avancées de Gmail
Les deepfakes IA ne sont pas seulement utilisés pour la pornographie et la politique, ils sont utilisés pour perpétrer des prises de contrôle de compte apparemment simples comme dans ce cas. Restez calme si quelqu'un prétendant être du support Google vous approche, il ne vous appellera pas, ce qui constitue un signal d'alarme massif immédiatement, et vous ne subirez aucun préjudice si vous raccrochez. Utilisez les outils à votre disposition, ironiquement la recherche Google elle-même et votre compte Gmail, pour effectuer des vérifications pendant l'appel si vous craignez qu'il puisse être authentique et que l'ignorer puisse causer des dommages. Recherchez le numéro de téléphone, voyez d'où il vient réellement. Vérifiez votre activité Gmail pour voir quels appareils, le cas échéant, autres que le vôtre, ont utilisé le compte. Prenez note de ce que Google dit sur la protection contre les attaquants utilisant des escroqueries par phishing Gmail. Surtout, ne vous laissez jamais précipiter par une réaction impulsive, quelle que soit l’urgence de la conversation. C’est sur ce sentiment d’urgence que les attaquants comptent pour détourner votre bon sens et cliquer sur un lien ou divulguer vos identifiants.
Utilisez le programme de protection avancée de Google, désormais compatible avec les clés d’accès
Je vous conseille également d’envisager de vous inscrire au programme de protection avancée de Google, conçu pour les utilisateurs tels que les journalistes, les militants et les politiciens qui peuvent être considérés comme des détenteurs de compte à haut risque. L’un des inconvénients du programme de protection avancée a toujours été qu’il nécessitait l’achat non pas d’une, mais de deux clés de sécurité matérielles à utiliser lors de la connexion au compte. Le fardeau financier a été levé récemment, plus tôt dans l’année, lorsque Google a annoncé que la prise en charge des clés d’accès allait être proposée aux utilisateurs du programme de protection avancée.
La combinaison des protections apportées par ces deux technologies en fait une évidence pour la plupart des personnes possédant un compte Google, y compris tous les utilisateurs de Gmail. Voici pourquoi. Pour se connecter à Google sur n’importe quel appareil, il faut saisir la clé d’accès lors de la première utilisation. Cela signifie que même si un pirate avait obtenu votre nom d’utilisateur et votre compte, sans l’appareil sur lequel cette clé d’accès est stockée (votre smartphone) et sans vos données biométriques nécessaires pour la vérifier, il ne pourrait pas se connecter. L’utilisation de cette option en conjonction avec l’inscription au programme de protection avancée, qui empêche la plupart des applications et services non Google d’accéder aux données de votre compte Gmail, rend également la récupération de mot de passe et de compte hameçonnés beaucoup plus difficile. « Si quelqu’un essaie de récupérer votre compte », a déclaré un porte-parole de Google, « la protection avancée prend des mesures supplémentaires pour vérifier votre identité. » Cela signifie qu’il peut falloir quelques jours pour vérifier que vous êtes bien la personne que vous prétendez être et récupérer l’accès à votre compte Google. Mais cela signifie également que les pirates ne peuvent pas non plus s’y introduire par escroquerie.