Problème 4775

Incidents associés

Incident 9428 Rapports
Cybercriminals Reportedly Exploited Google’s G.Co Subdomain and Spoofed Caller ID in AI-Driven Phishing Attack on Hack Club Founder

Google renforce sa sécurité après une arnaque par phishing sophistiquée visant les utilisateurs de « Workspace »
technadu.com · 2025
  • Des cybercriminels se sont fait passer pour des membres de l'équipe Google Workspace via des techniques avancées de phishing vocal.
  • Plus tard dans la conversation, les pirates ont envoyé un e-mail à la victime qui demandait une réinitialisation du mot de passe.
  • L'e-mail frauduleux semblait provenir du domaine légitime « g.co » de Google, ce qui ajoute aux éléments trompeurs.  

Google a annoncé des mesures pour renforcer ses défenses suite à une attaque de phishing sophistiquée qui a presque compromis le compte d'un utilisateur. Les escrocs ont utilisé une technique avancée de phishing vocal, se faisant passer pour des membres de l'équipe Google Workspace.

L'incident a été révélé par Zach Latta, fondateur de Hack Club, basé dans le Vermont, qui a raconté son expérience dans un fil de discussion détaillé, décrivant la tentative de phishing comme « la plus sophistiquée » qu'il ait rencontrée. 

L'appel semblait provenir d'un numéro Google légitime, le 650-203-0000, et affichait un identifiant d'appelant « Google ». L'escroc, s'identifiant comme « Chloe », parlait avec un accent américain sur une ligne claire, ajoutant un air d'authenticité à l'appel.

Les escrocs ont affirmé qu'il y avait eu une tentative de connexion inhabituelle depuis Francfort sur son compte Google et ont insisté pour qu'il réinitialise son mot de passe. 

Pour vérifier leur authenticité, Latta a demandé un e-mail provenant d'un domaine Google confirmé, qu'il a reçu de [email protected], une adresse Google légitime. Malgré cela, Latta est resté prudent et a finalement découvert des incohérences dans leur histoire.

L'arnaque a été dévoilée lorsque « Solomon », un autre arnaqueur, a pris le relais de l'appel. Bien que Solomon ait fourni le véritable numéro d'authentification à deux facteurs (2FA) de l'appareil de Latta, ses tentatives pour guider Latta afin qu'il tape le bon numéro ont suscité des soupçons.

L'un des éléments les plus trompeurs de l'arnaque était l'utilisation abusive du domaine g.co de Google. Les attaquants ont créé un espace de travail Google à l'aide d'un sous-domaine g.co, ce qui leur a permis d'envoyer des e-mails via une infrastructure Google légitime.

Ils ont utilisé cette capacité pour créer des e-mails de réinitialisation de mot de passe trompeurs, qui auraient semblé crédibles pour la plupart des utilisateurs.

Latta a souligné à quel point il était passé à deux doigts d'être victime de l'attaque, déclarant : « Ce qui est fou, c'est que si j'avais suivi les deux « bonnes pratiques » consistant à vérifier le numéro de téléphone et à leur demander d'envoyer un e-mail à partir d'un domaine légitime, j'aurais été compromis. »

Google a depuis réagi à l'incident. Un porte-parole a déclaré : « Nous avons suspendu le compte à l'origine de cette arnaque, qui a abusé d'un compte Workspace non vérifié pour envoyer ces e-mails trompeurs. Bien que nous n'ayons pas vu de preuve qu'il s'agisse d'une tactique à grande échelle, nous renforçons nos défenses contre les abuseurs qui exploitent les références g.co lors de l'inscription pour mieux protéger les utilisateurs. »

Dans d'autres nouvelles, des pirates informatiques usurpent l'identité de Google Ads via de faux résultats payants dans quelques campagnes malveillantes exploitant des comptes d'annonceurs Google piratés.

Lire la source