Si avez reçu un lien Google Doc dans votre boîte aux lettres cette semaine, examinez-le attentivement avant de cliquer même s’il semble provenir de quelqu’un dont vous avez confiance. Une mauvaise escroquerie de phishing qui se fait passer pour une demande provenant de Google Docs a balayé Internet cette semaine, y compris celle des sociétés de médias.
Vous avez entendu du dicton « réfléchissez avant de cliquer » peut-être un million de fois, mais cela pourrait vous sauver de beaucoup de tracas.
Google a déjà pris des mesures pour neutraliser cet hameçonnage très particulier. La société a déclaré dans un communiqué de presse qu’il avait « éliminé les comptes offensants. Nous avons supprimé les fausses pages, nous avons aussi diffusé des mises à jour via la navigation sécurisée et notre équipe a travaillé dur pour éviter que ce type de terreur apparaisse de nouveau. » Mais quand il s’agit de la protection contre le phishing, il y a toujours un élément du chat et de la souris. Les attaques de phishing à grande échelle et celles qui se font passer pour des services populaires, comme les pages de connexion Google, traque régulièrement Internet.
« Ce type d’hameçonnage est très sérieux du fait non pas de la façon dont il s’est répandu, mais plutôt qu’il n’a pas utilisé de logiciels malveillants ou de faux sites Web qui empêchent les utilisateurs d’abandonner leurs mots de passe », explique Aaron Higbee, responsable technologique de la société PhishMe, qui a analysé les données de la fausse campagne Google Docs.
« Cet hameçonnage a fonctionné parce qu’il a trompé l’utilisateur pour accorder des autorisations à une application tierce. C’est l’avenir de l’hameçonnage, et tous les fournisseurs de technologies de sécurité sont mal équipés pour y faire face. »
Des fraudes similaires de Google Docs en particulier ont circulé depuis au moins en 2014, mais cela ne les rend pas faciles à repérer, en partie parce qu’elles semblent tellement si authentiques. Les phishers peuvent utiliser des comptes Google réels et développer des plugins tiers qui peuvent interagir avec les services Google, afin qu’ils puissent attirer les victimes dans les pages Web Google les plus parfaites. Et les variations de cette approche ont touché encore, tout comme les vagues dans l’océan. Hameçonnage ? Vous l’avez compris. Voici comment rester vigilant cette fois, et aller de l’avant pour l’éviter.
Fiducie
Voici comment fonctionne ce cycle de courriers électroniques de Google docs : Vous recevez un courriel indiquant que quelqu’un vous a ajouté à Google Doc. Vous cliquez sur le lien pour l’afficher. Cela vous amène à un écran de compte légitime, en listant tous les comptes Google auxquels vous êtes connecté. Donc, vous choisissez celui que vous souhaitez utiliser pour afficher le document (ou vous connectez, si vous n’êtes déjà authentifié dans votre navigateur).
Là, un service malveillant appelé « Google Docs » vous attend, vous demandant des privilèges d’accéder à votre compte, vos contacts, votre mot de passe, vos e-mails, et tout.
Si vous avez déjà cliqué sur ce type de lien aujourd’hui (ou n’importe quel jour), accédez à la page Permissions de votre compte Google le plus rapidement possible et, dans ce cas, révoquez l’accès au service appelé « Google Docs ». Encore une fois, c’est un faux. Ensuite, modifiez votre mot de passe et assurez-vous que l’authentification à deux facteurs est activée, ce que vous avez déjà fait, n’est-ce pas ?
La sécurité avant tout
Pour vous aider à vous protéger encore plus dans le futur, Google propose un outil appelé Alerte de mot de passe qui vous avertit si vous tapez vos informations personnelles de compte Google dans une page qui n’est pas officiellement Google. Si les phishers ont fait une contrefaçon qui semble être réel, l’Alerte de mot de passe vous suggère de changer instantanément votre mot de passe et de sécuriser votre compte dès que vous avez commis une erreur. Mais cela ne vous protège pas nécessairement lorsque les fraudeurs manipulent des processus authentiques de Google. Et, bien sûr, cela ne vous aide pas à identifier les fausses pages de connexion liées aux services d’autres entreprises.
Résister à l’envie de cliquer reste la meilleure première ligne de défense. Lorsque vous pouvez repérer des incohérences ou des contenus suspects dans un courrier électronique qui peut vous aider à vous déplacer, comme par exemple, un champ « À: » rempli par « hhhhhhhhhhhhhhhh » devrait éveiller les soupçons et suivre ou écouter son instincts est très important.
Mais dans le cas où un courrier électronique d’hameçonnage (ou un e-mail de phishing adapté) est tellement parfait au point de vous convaincre, il faut une habitude générale de penser avant de cliquer.
Le téléchargement de pièces jointes ou le fait de cliquer sur les liens ne doivent pas être automatiques, même s’ils semblent provenir des personnes très proches de vous.
En particulier, si vous ne vous attendez pas à un message, vous devriez prendre un moment pour examiner les URL qu’il contient dans un éditeur de texte clair ou vérifier avec votre ami par un autre moyen de communication qu’ils vous ont vraiment envoyé un document Word de recettes. Ces contrôles rapides peuvent faire une grande différence. Parfois, un deuxième regard est tout ce qu’il faut pour se rendre compte que votre collègue ne transmettra probablement pas un Doc Google Doc à votre entreprise.
Nous espérons que cet article vous a aidé à mieux comprendre les récents hameçonnages (ou phishing) diffusé par les pirates informatiques.