Incidents associés
Les escrocs ont réussi à appeler une victime en utilisant le numéro de téléphone de Google, qui est répertorié sur le site Web d'assistance officiel, puis à lui envoyer un e-mail à partir d'un sous-domaine officiel. On ne sait pas exactement comment les acteurs malveillants ont pu abuser des fonctionnalités de Google.
L'ingénieur logiciel Zach Latta, fondateur de Hack Club, a détaillé une attaque inhabituelle sur GitHub.
Une personne nommée Chloe a appelé Latta depuis le 650-203-0000 avec l'identifiant de l'appelant « Google ». Comme l'explique la page d'assistance de Google, Google Assistant utilise ce numéro pour les appels automatisés, tels que la prise de rendez-vous ou la vérification des temps d'attente au restaurant.
"Elle avait l'air d'un véritable ingénieur, la connexion était très claire et elle avait un accent américain", a déclaré le développeur.
Des escrocs se faisant passer pour le support Google Workspace ont prévenu qu'ils avaient bloqué le compte de Latta parce que quelqu'un s'était connecté depuis Francfort et y avait eu accès.
Latta a immédiatement soupçonné qu'il s'agissait d'une tentative d'escroquerie. Il a demandé une confirmation par e-mail.
A sa grande surprise, les pirates ont dit oui et ont envoyé un e-mail depuis un véritable sous-domaine, g.co, qui appartient à Google. Le message électronique, impossible à distinguer du vrai, ne contenait aucun signe d'usurpation d'identité et il a passé DKIM, SPF et DMARC (protocoles d'authentification des e-mails qui vérifient les attaques d'usurpation d'identité et de phishing). Latta a partagé toutes les preuves dans un message.
Selon Google, g.co est un raccourci URL officiel qui est "uniquement destiné aux sites Web de Google".
"Vous pouvez être sûr qu'il vous mènera toujours à un produit ou un service Google", peut-on lire sur la page de destination du domaine.
Les escrocs ont expliqué que le compte avait probablement été compromis par une extension Chrome. Ils avaient préparé des comptes LinkedIn frauduleux comme preuve qu'ils travaillaient chez Google.
« Chloé » a essayé de tromper le développeur en lui demandant d'enregistrer l'un des trois numéros qui apparaissaient sur son téléphone pour « réinitialiser le compte ». En réalité, cette action aurait permis aux escrocs d'accéder au compte si elle avait été effectuée.
L'ingénieur logiciel a enregistré la conversation qui a suivi lorsqu'il était sûr qu'il s'agissait d'une tentative de phishing.
« Ce qui est fou, c'est que si j'avais suivi les deux « bonnes pratiques » consistant à vérifier le numéro de téléphone + à leur demander de vous envoyer un e-mail à partir d'un domaine légitime, j'aurais été compromis », prévient Latta.
Google n'a pas encore abordé publiquement ce problème spécifique. Cybernews a contacté Google pour obtenir des commentaires et attend sa réponse. En attendant, on ne sait pas comment les spammeurs ont pu accéder aux fonctionnalités et sous-domaines importants de Google.
Certains pensent que les pirates auraient pu obtenir les identifiants du compte Google, qui leur permettent d'accéder à des fonctions partielles, mais nécessitent de contourner l'authentification multifacteur pour prendre le contrôle du compte et obtenir un accès permanent.
En attendant, il est conseillé aux utilisateurs de faire preuve de prudence lorsqu'ils reçoivent des appels ou des e-mails suspects et de signaler toute activité suspecte à l'équipe de sécurité de Google.