Incidents associés
Une arnaque visant les titulaires de comptes Gmail fait le tour du monde et vous pourriez facilement vous faire avoir. Le consultant en solutions Microsoft Sam Mitrovic aurait pu en être la victime comme il l'a expliqué dans un article de blog détaillant ce qui lui est arrivé. Il a reçu une notification lui demandant d'approuver une tentative de récupération de compte Gmail qu'il n'a pas initiée. 40 minutes après avoir refusé la demande, Sam a manqué un appel de Google Sydney.
Une semaine plus tard, à peu près à la même heure de la journée, Mitrovic a de nouveau reçu une notification lui demandant d'approuver une tentative de récupération de compte Gmail qu'il a de nouveau refusé d'approuver. Et une fois de plus, après 40 minutes, il a reçu un appel téléphonique. Cette fois, il a décroché et s'est retrouvé à parler à un Américain même si l'appel provenait d'Australie.
Ce Gmail ne venait pas de Google, ce que la victime a réalisé juste à temps. | Crédit photo : Sam Mitrovic
L'homme à l'autre bout du fil dit qu'il y a une activité suspecte sur son compte. Il demande à Sam s'il voyage ou s'il s'est connecté depuis l'Allemagne. Lorsqu'il répond « Non » aux deux questions (qui sont conçues pour effrayer la victime en lui faisant croire que son compte a été compromis), Mitrovic apprend que quelqu'un a eu accès à son compte pendant une semaine et a téléchargé les données du compte.
Pendant l'appel téléphonique, Mitrovic a recherché sur Google le numéro de téléphone d'où provenait l'appel et il s'est avéré qu'il s'agissait d'un numéro légitime de Google en Australie. Néanmoins, sachant que les escrocs peuvent faire croire qu'un appel provient d'un numéro particulier, il a une demande à faire à l'homme au téléphone.
Mitrovic a demandé qu'un e-mail lui soit envoyé pour authentifier la validité de l'appel. Bien que l'homme soit d'accord, Sam peut entendre sur son téléphone le bruit de quelqu'un qui tape sur un clavier et l'ambiance générale d'un centre d'appels. Lorsque l'e-mail arrive, il semble légitime, sauf que l'une des adresses dans le champ « à », GoogleMail at InternalCaseTracking dot com, est un domaine non Google. Et puis, Mitrovic a réalisé que la voix à l'autre bout de l'appel était générée par l'IA. Ne voulant pas être une victime, Mitrovic a raccroché.
Il a découvert plus tard que l'adresse e-mail de l'expéditeur était falsifiée. Les escrocs ont pu le faire en utilisant Salesforce CRM. Ce dernier permet à un utilisateur de définir l'adresse de l'expéditeur sur n'importe quelle adresse de son choix et de la faire envoyer via les serveurs Gmail/Google.
Sur Reddit, un abonné a révélé qu'il était le destinataire de la même arnaque à laquelle il n'a pas cru non plus. Cependant, tout le monde n'a pas été assez intelligent pour rejeter l'appel. En faisant une recherche inversée de numéro de téléphone, Sam est tombé sur un message d'une victime qui pensait que l'appel provenait de Google. Et franchement, l'arnaque était si sophistiquée que personne ne pouvait être blâmé pour y être tombé.
Il est effrayant d'imaginer ce qui aurait pu se passer si Mitrovic avait approuvé la notification de récupération de compte. Si cela s'était produit, il aurait perdu le contrôle de son compte au profit d'escrocs. À plusieurs reprises au cours de cette escroquerie, un profane aurait probablement donné l'autorisation aux escrocs de prendre le contrôle de leur compte.
N'acceptez pas d'approuver une tentative de récupération de compte Gmail. Il s'agit d'une attaque de phishing qui vous renvoie finalement vers une fausse page de connexion où il vous est demandé de saisir vos identifiants légitimes pour signaler que la demande de récupération de compte que vous avez reçue n'a pas été envoyée à votre demande. Si vous n'êtes pas sûr que la correspondance que vous recevez d'une entreprise est réelle ou non, il est toujours préférable de faire preuve de prudence. Obtenez un numéro de téléphone légitime de l'entreprise à partir de la recherche Google, passez l'appel et demandez à l'entreprise de confirmer qu'elle vous a envoyé une notification ou un e-mail.