Google Docs a rongé la part de Microsoft Office sur le marché de la productivité au cours des dernières années. De meilleurs outils de collaboration et une interface simple basée sur le cloud en ont fait le traitement de texte de choix pour de nombreuses personnes.
Malheureusement, on nous montre sans cesse que rien sur Internet n'est sûr. Exemple :la tentative d'hameçonnage du printemps 2017 qui a usurpé Google Docs et abusé du système OAuth de Google. Comment les attaquants ont-ils compromis les comptes Google ? Quelles données ont été perdues ? Comment saurais tu? Voyons ce que nous savons et comment vous pouvez vous protéger.
Au cours des derniers jours, de nombreuses personnes ont commencé à recevoir des e-mails les invitant à consulter un document Google. L'e-mail était visuellement très similaire à une vraie demande Google Docs, ainsi qu'une ligne d'objet légitime de "[Votre contact] a partagé un document sur Google Docs avec vous " - cependant, il y avait une indication : le destinataire était [email protected] avec votre adresse uniquement indiquée dans le champ Cci.
Tous les clients de messagerie n'affichent pas l'adresse e-mail complète par défaut et de nombreuses personnes n'avaient aucune raison de se méfier et ont cliqué sur le lien de demande. Le lien vous a redirigé vers une page de destination Google légitime pour l'accès OAuth. Si vous avez plusieurs comptes connectés, il vous demandera quel compte vous souhaitez utiliser. Choisissez-en un et une page d'autorisation avec "Google Docs" vous demandant l'autorisation d'accéder à votre compte s'affiche.
Bien que l'application Google Docs ait utilisé le logo Google Drive, il y avait un autre signe qu'il était faux. Cliquer sur le nom de l'application révèle les détails du développeur et plutôt que de montrer à Google qu'elle a été répertoriée
[email protected] avec un site Web de
https://googledocs.g-cloud.pro .
Bien qu'il soit possible d'usurper le nom de Google Docs, le vrai Docs ne nécessite pas l'accès à votre compte . Toutes ces tentatives d'autorisation sont fausses et susceptibles d'être malveillantes. Après avoir obtenu l'accès à votre compte et à vos contacts, la fausse application Google Docs enverrait l'e-mail de phishing à tous vos contacts.
Étant donné que l'attaquant a également demandé l'accès pour "lire, envoyer et gérer" votre e-mail, il peut également avoir collecté des données à partir de vos e-mails. Selon une déclaration de Google, cependant, ils pensent que seules les données de contact ont été consultées.
Bien qu'il y ait eu beaucoup d'activité sur les réseaux sociaux de personnes signalant la tentative de phishing, beaucoup ont d'abord été alertées de l'attaque via un fil Reddit. On ne sait pas si Google était au courant de la menace auparavant, mais il semble que la première fois qu'elle a été abordée, c'était lorsqu'un Googleur est apparu dans le fil et l'a poussé à l'escalade. Le développeur "Google Docs" a été bloqué d'OAuth dans la demi-heure suivant l'escalade, ce qui a empêché l'attaque de phishing.
Selon un communiqué, Google a estimé que seulement 0,1 % des utilisateurs de Gmail ont été touchés par cette attaque. Bien que cela semble petit, on estime que Gmail compte plus d'un milliard d'utilisateurs, cette attaque de phishing peut donc avoir touché plus d'un million d'utilisateurs. Si l'application a été autorisée à accéder à votre compte Google, elle a toujours cet accès, vous devez donc vous diriger vers les paramètres de votre compte Google et supprimer toute application nommée Google Docs.
Les sites associés à la fausse application Google Docs étaient principalement hébergés sur CloudFlare. Heureusement, la société d'hébergement a également agi rapidement sur cette information, bloquant apparemment tous les domaines associés en dix minutes. Cependant, toutes les données récoltées par l'application peuvent déjà être entre les mains de l'attaquant.
Pour supprimer la fausse application Google Docs de l'accès à votre compte Google, rendez-vous maintenant dans vos paramètres d'autorisations et cliquez sur Supprimer . Pendant que vous y êtes, il peut être utile de vérifier toutes les autres applications qui ont accès à votre compte et de supprimer celles qui sont inutilisées ou suspectes.
Google a également recommandé d'effectuer un contrôle de sécurité si vous pensez avoir été affecté par l'attaque. Même si vous n'y êtes pas allé, effectuer des contrôles réguliers est tout de même une bonne idée.
Bien qu'il puisse y avoir des solutions que les entreprises technologiques peuvent mettre en œuvre, elles adoptent souvent une approche « coup de taupe » et ciblent chaque attaque au fur et à mesure. Il y aura toujours des gens qui essaieront de vous convaincre de divulguer des informations personnelles. Dans le monde physique, ils seraient qualifiés d'escrocs ou d'escrocs.
La meilleure défense dont vous disposez est de connaître les signes d'une tentative de phishing. Si l'adresse e-mail du destinataire ou de l'expéditeur est une adresse e-mail inhabituelle et indésirable, vous devez procéder avec prudence. Si vous recevez ce que vous pensez être un e-mail de phishing, vous devez le signaler à Google.
La page OAuth était problématique car il s'agissait d'un site légitime, vous demandant d'autoriser l'accès d'une application malveillante à votre compte. Il peut y avoir des mesures que Google et d'autres pourraient prendre pour empêcher les applications malveillantes d'utiliser de faux noms, mais en attendant, vous pouvez vérifier les informations du développeur sur l'une des pages OAuth de Google en cliquant sur le nom de l'application qui devrait en révéler plus sur ses motifs.
Dans ce qui semble être un timing incroyablement fortuit, l'application Gmail Android a été mise à jour le même jour que l'attaque de Google Docs. La mise à jour alerte les utilisateurs lorsqu'ils cliquent sur un lien vers un e-mail de phishing suspecté. Cela n'aurait toujours pas atténué l'attaque Docs car il vous dirigeait directement vers une page d'autorisation Google légitime.
Un rapport de Trend Micro a mis en évidence ce type d'attaque quelques semaines seulement avant l'itération de Google Docs. Dans leur cas, il s'agissait d'une application appelée Google Defender, mais la méthode d'attaque était presque identique et liée à un groupe appelé Pawn Storm. Bien que Google ait pris des mesures pour empêcher l'attaque de Google Docs, il pourrait bien y avoir des attaques similaires à l'avenir.
Lire sur les moyens de repérer un e-mail de phishing est un bon point de départ. Bien qu'il n'ait pas empêché l'attaque de Google Docs, Gmail peut également vous aider à identifier les e-mails de phishing. Se protéger de la dernière attaque peut sembler être un travail sans fin, mais cela vaut vraiment la peine de lutter contre la fatigue de la sécurité.
Avez-vous été touché par l'attaque de phishing Google Docs ? Ou avez-vous reçu un e-mail de quelqu'un qui l'était ? Cela vous empêcherait-il d'utiliser Google Docs à l'avenir ? Faites-nous part de vos réflexions dans les commentaires ci-dessous.
Crédit image :wk1003mike via Shutterstock.com