Incidents associés
Google affirme qu'il renforce désormais ses défenses contre une arnaque sophistiquée de prise de contrôle de compte documentée par un programmeur la semaine dernière.
Zach Latta, fondateur de Hack Club, a raconté à quel point il a été proche de succomber à des hameçonneurs vocaux qui ont tenté de prendre le contrôle de son compte Google.
Il a déclaré : « Quelqu'un vient de tenter l'attaque de phishing la plus sophistiquée que j'aie jamais vue. J'ai failli tomber dans le panneau. Je suis un peu abasourdi. »
Les escrocs ont appelé Latta, qui réside dans le Vermont, aux États-Unis, affirmant que l'équipe Google Workspace avait repéré une tentative de connexion inhabituelle depuis Francfort et qu'il devait réinitialiser le mot de passe de son compte.
L'appel provenait du 650-203-0000 (un véritable numéro associé aux appels automatisés de Google Assistant) et d'un identifiant d'appelant « Google ». L'escroc a utilisé le nom de Chloe et a parlé avec un accent américain sur une ligne au son cristallin. Mis à part le fait que Google a passé l'appel au départ, tout semblait bien au début.
Latta est toutefois resté méfiant et a demandé un véritable e-mail envoyé depuis un domaine Google pour confirmer l'authenticité de l'appel. Cet e-mail provenait d'une adresse workspace-noreply@google.com non usurpée et même après avoir demandé s'il pouvait rappeler le numéro, Chloé n'a pas semblé décontenancée et a répondu « bien sûr », bien que cela ait suffi à empêcher Latta de le faire.
L'arnaque a commencé à se dénouer après que le manager de Chloé, « Solomon », un autre individu à l'accent américain, a pris le relais de l'appel et a donné des informations contradictoires avec celles données par son collègue. Le seul point positif a été qu'il a pu fournir le véritable code 2FA number-matching qui apparaissait sur l'appareil de Latta.
Pour un non-technicien, cela suffirait probablement à convaincre une victime qu'il s'agissait d'un véritable employé de Google au bout du fil, mais l'encouragement de Solomon à appuyer sur le bon numéro a été le dernier signal d'alarme avant de déterminer complètement qu'il s'agissait d'une arnaque.
"Ce qui est fou, c'est que si j'avais suivi les deux "meilleures pratiques" consistant à vérifier le numéro de téléphone et à leur demander de vous envoyer un e-mail à partir d'un domaine légitime, j'aurais été compromis", a écrit Latta [(https://gist.github.com/zachlatta/f86317493654b550c689dc6509973aa4).
"Je comprends comment ils ont pu usurper l'appel téléphonique "Google" via Google Assistant, mais je n'ai aucune idée de comment ils ont eu accès à important.g.co [puisque] g.co est une URL Google légitime.
"[J'étais] littéralement à un clic d'être complètement piraté. Et je suis assez technique ! »
L'utilisation de g.co est ici cruciale. L'escroc crée un espace de travail Google à l'aide d'un sous-domaine g.co. G.co est un véritable sous-domaine Google et n'importe qui peut créer un nouvel espace de travail à l'aide d'un sous-domaine g.co sans avoir à vérifier qu'il en est le propriétaire.
Les escrocs créent ensuite un compte pour la victime à l'aide de l'espace de travail et envoient un e-mail de réinitialisation de mot de passe provenant de Google lui-même, comme c'est le cas pour un compte d'espace de travail.
Un porte-parole de Google a déclaré à The Register : « Nous avons suspendu le compte à l'origine de cette arnaque, qui a abusé d'un compte d'espace de travail non vérifié pour envoyer ces e-mails trompeurs.
« Nous n'avons pas vu de preuve qu'il s'agisse d'une tactique à grande échelle, mais nous renforçons nos défenses contre les abuseurs qui exploitent les références g.co lors de l'inscription afin de mieux protéger les utilisateurs. »
Pour rappel, Google n'appellera pas les utilisateurs pour réinitialiser leurs mots de passe ou résoudre les problèmes de compte, alors n'hésitez pas à traiter tous les appels entrants comme des ordures.
Un problème plus vaste
Certains détails de l'affaire Latta correspondent à des histoires de malheur similaires, comme celle racontée par le vénérable journaliste en sécurité informatique Brian Krebs en décembre à propos d'une prise de contrôle de compte Google qui a conduit à un raid cryptographique d'un demi-million de dollars.
Une personne prétendument du support Google a appelé Adam Griffin à partir du même numéro 650-203-0000, mais cette fois, c'est Google Forms qui a été abusé plutôt que le domaine g.co.
L'astuce de Google Forms a quelques années maintenant, mais c'est toujours un outil convaincant qui déconcertera de nombreuses victimes. Il abuse d'une fonctionnalité de Forms qui permet aux attaquants d'envoyer de faux e-mails tels que des avertissements de compromission de compte de Google, mais à partir d'un véritable domaine Google qui a plus de chances de ne pas être détecté comme spam.
À l'autre bout du fil, il y avait un individu à l'accent américain, tout comme dans le cas de Latta, qui a pu guider Griffin dans le processus de récupération de compte. Ils savaient quand certaines fenêtres contextuelles allaient apparaître dans l'application Gmail, par exemple, également comme dans le cas de Latta avec le numéro correspondant.
Bien sûr, les deux ont été initiées par les escrocs eux-mêmes, mais encore une fois, cela suffirait probablement à convaincre le public non technique de l'"authenticité" de l'appel.
Des escroqueries similaires frappent également les utilisateurs d'Apple maintenant, comme Krebs l'a noté plus tôt ce mois-ci, et les cas récents servent de rappels constants de l'importance d'éduquer les masses sur le métier des escrocs.
Ce sont également d'excellentes publicités pour des solutions plus modernes contre le phishing telles que les passkeys, dont la popularité a explosé l'année dernière, avec des sociétés comme Microsoft qui avertissent que tous les utilisateurs seront éventuellement obligés de les utiliser. De même, Google est un fervent partisan de ces solutions. ®