Tout le monde tombe amoureux de cette arnaque Gmail incroyablement efficace

Cet article a été initialement publié sur Fortune.
Des chercheurs en sécurité ont identifié une arnaque de phishing «très efficace» qui trompe Google Les clients Gmail à divulguer leurs informations de connexion. Le système, qui a gagné en popularité au cours des derniers mois et aurait été utilisé par d'autres services de messagerie, implique une astuce astucieuse qui peut être difficile à détecter.

Les chercheurs de WordFence, une équipe qui fabrique un outil de sécurité populaire pour le site de blog WordPress, averti de l'attaque dans un récent article de blog, notant qu'il a "eu un large impact, même sur les utilisateurs techniques expérimentés". (Voir ces personnes, dont comptesétaientciblé.)

Voici comment fonctionne l'arnaque. L'attaquant, généralement déguisé en contact de confiance, envoie un e-mail piégé à une victime potentielle. Apposé sur cet e-mail, il semble y avoir une pièce jointe régulière, par exemple un document PDF. Rien d'extraordinaire en apparence.

Mais la pièce jointe est en fait une image intégrée qui a été conçue pour ressembler à un PDF. Plutôt que de révéler un aperçu du document lorsque vous cliquez dessus, cette image intégrée est liée à une fausse page de connexion Google. Et c'est là que l'arnaque devient vraiment sournoise.

Tout sur cette page de connexion semble authentique: le logo Google, les champs de saisie du nom d'utilisateur et du mot de passe, le slogan («Un compte. Tout Google. "). Selon toutes les indications, la page est un fac-similé de la vraie chose. Sauf pour un indice: la barre d'adresse du navigateur.

Même là, il peut être facile de rater le signal. Le texte contient toujours le « https://accounts.google.com,” une URL qui semble légitime. Il y a cependant un problème; cette URL est précédée du préfixe "data: text / html".

En fait, le texte dans la barre d'adresse est ce que l'on appelle un "URI de données", pas une URL. Un URI de données incorpore un fichier, tandis qu'une URL identifie l'emplacement d'une page sur le Web. Si vous deviez faire un zoom arrière sur la barre d'adresse, vous trouveriez une longue chaîne de caractères, un script qui sert un fichier conçu pour ressembler à une page de connexion Gmail. Ceci est le piège.

Dès qu'une personne entre son nom d'utilisateur et son mot de passe dans les champs, les attaquants capturent les informations. Pour aggraver les choses, une fois qu'ils ont accès à la boîte de réception d'une personne, ils reconnaissent immédiatement le compte compromis et se préparent à lancer leur prochain bombardement. Ils trouvent les e-mails et les pièces jointes passés, créent des versions d'images boobytrapped, établissent des lignes d'objet crédibles, puis ciblent les contacts de la personne.

Et donc le cercle vicieux des détournements se poursuit.

Les utilisateurs de Google Chrome peuvent se protéger en vérifiant la barre d'adresse et en s'assurant qu'un symbole de verrouillage vert apparaît avant d'entrer leurs informations personnelles dans un site. Comme les escrocs sont connus pour créer des sites de phishing protégés par HTTPS, qui affichent également un verrou vert, c'est Il est également important de s’assurer qu’elle apparaît à côté d’une URL appropriée et voulue, sans aucune activité amusante avant il.

De plus, les utilisateurs doivent ajouter une authentification en deux étapes, une couche de sécurité supplémentaire qui peut aider à empêcher les prises de contrôle de compte. Les experts recommandent d'utiliser un jeton de sécurité dédié ainsi que.

Un porte-parole de Google a reconnu l'arnaque dans un e-mail et a ordonné Fortune à une déclaration:

Nous sommes conscients de ce problème et continuons de renforcer nos défenses contre celui-ci. Nous aidons à protéger les utilisateurs contre les attaques de phishing de différentes manières, notamment: détection basée sur l'apprentissage automatique des messages de phishing, Avertissements de navigation sécurisée qui avertissent les utilisateurs des liens dangereux dans les e-mails et les navigateurs, empêchant les connexions de compte suspectes, et plus. Les utilisateurs peuvent également activer la vérification en deux étapes pour une protection supplémentaire du compte.

Être à l'affut.