Des pirates envoient des liens malveillants par le biais de commentaires sur Google Doc
Une étude de la société de cybersécurité Avanan a montré que les pirates utilisent de plus en plus les fonctionnalités de Google Docs pour faire passer du contenu malveillant à travers les filtres anti-spam et les outils de sécurité.
Dans un billet de blog, Jeremy Fuchs, d’Avanan, a déclaré qu’en décembre, des cyberattaquants ont utilisé la fonction de commentaire de Google Docs et Google Slides pour mener des attaques contre des utilisateurs d’Outlook.
“Dans cette attaque, les pirates ajoutent un commentaire à un Google Doc. Le commentaire mentionne la cible avec un @. Ce faisant, un courriel est automatiquement envoyé dans la boîte de réception de cette personne. Dans cet e-mail, qui provient de Google, le commentaire complet, y compris les liens malveillants et le texte, est inclus. De plus, l’adresse électronique n’est pas affichée, seul le nom de l’attaquant est indiqué, ce qui rend la situation propice aux usurpations d’identité”, écrit M. Fuchs.
Cette technique est utilisée depuis longtemps par les cybercriminels et Google a même publié des correctifs pour ce problème en octobre. Mais Avanan a inclus des images montrant des chercheurs qui continuaient d’exploiter la vulnérabilité sur Google Docs et Google Slides en utilisant un lien malveillant ajouté à un commentaire.
“Nous avons vu qu’elle visait principalement les utilisateurs d’Outlook, mais pas exclusivement. Elle a touché plus de 500 boîtes de réception dans 30 entreprises, les pirates utilisant plus de 100 comptes Gmail différents”, a ajouté M. Fuchs, notant que le passage par Google Docs rend difficile l’arrêt de l’attaque par les systèmes de filtrage, car le courrier électronique provient directement de Google.
Avanan
Google figure sur la plupart des listes d’autorisation, explique M. Fuchs, et la plupart des utilisateurs font confiance aux e-mails provenant de Google. Les fonctions anti-spam sont également impuissantes face à cette attaque, car l’e-mail n’utilise pas l’adresse électronique du pirate, mais uniquement son nom d’affichage. Personne ne peut savoir si le commentaire provient d’une personne de son entreprise ou de l’extérieur.
“De plus, l’e-mail contient le commentaire complet, ainsi que des liens et du texte. La victime n’a jamais besoin de consulter le document, car la charge utile se trouve dans l’e-mail lui-même. Enfin, l’attaquant n’a même pas besoin de partager le document : il suffit de mentionner la personne dans le commentaire”, ajoute M. Fuchs.
“Cette attaque n’a pas été détectée par l’ATP non plus. Avanan a informé Google de cette faille le 3 janvier, via le bouton “Report Phish through email” dans Gmail.”
La société a noté que l’année dernière, elle a signalé un autre exploit de Google Docs qui permettait également aux pirates de diffuser facilement des sites Web malveillants de phishing aux utilisateurs finaux.
Avanan suggère aux utilisateurs de vérifier plusieurs fois avant de cliquer sur les liens contenus dans un commentaire Google Doc qui leur a été envoyé.
Un certain nombre d’experts en cybersécurité ont rappelé que ce type d’attaque est utilisé depuis de nombreuses années par les cyberattaquants en raison de son succès.
Shawn Smith, directeur de l’infrastructure chez nVisium, a noté que l’attaque n’est pas très différente des autres méthodes de phishing.
“Les utilisateurs doivent toujours se méfier des liens contenus dans les e-mails, même ceux provenant d’expéditeurs légitimes, car ils risquent de compromettre leur compte. Il me semble qu’il s’agit moins d’un “exploit” en soi que d’un manque de prévention du spam”, a déclaré M. Smith.
“En plus de vérifier les liens, les utilisateurs devraient également passer la souris sur les liens avant de cliquer pour confirmer que le lien hypertexte les envoie là où ils s’y attendent – et non sur un site complètement différent de celui indiqué par le lien.”
Source : “ZDNet.com”
