Une attaque de phishing a balayé l’internet ce mercredi (3), sous la forme d’un faux Google Docs pour accéder à votre vie en ligne et se répliquer. Selon Google, 0,1 % des utilisateurs de Gmail ont été touchés, soit environ 1 million de personnes.
Comme l’explique The Next Web, l’escroquerie a fonctionné comme suit : un e-mail indique qu’un document Google a été partagé avec vous, probablement par quelqu’un de votre liste de contacts. Vous cliquez sur le bouton et vous accédez à une page où “Google Docs” demande l’autorisation d’accéder à vos e-mails et contacts.
Ce n’est pas le vrai Google Docs (il ne demanderait pas d’autorisations), mais il semble assez authentique. Si vous cliquez sur “Autoriser”, il se réplique automatiquement et s’envoie à tous vos contacts.
En outre, il pourrait théoriquement extraire des informations stockées dans ses courriels et peut-être accéder à d’autres services en envoyant des demandes de réinitialisation de mot de passe. Cependant, Google affirme qu'”aucune donnée n’a été exposée”, à l’exception des contacts.
Le lien et le faux identifiant de l’application ont été désactivés par Google, mais pas avant qu’ils ne se soient répandus chez plusieurs utilisateurs. Si vous avez donné l’autorisation pour “Google Docs”, allez sur myaccount.google.com/permissions et révoquez l’autorisation. Même si vous n’êtes pas tombé dans le panneau, visitez cette page pour révoquer l’accès aux applications qui ne sont plus utilisées.
Dans une déclaration, Google dit :
Nous avons pris des mesures pour protéger les utilisateurs contre une campagne de spam par e-mail impliquant Google Docs qui a touché moins de 0,1% des utilisateurs de Gmail. Nous avons combiné des actions automatiques et manuelles, en supprimant les fausses pages et applications et en envoyant des mises à jour par le biais de Safe Browsing, Gmail et d’autres systèmes anti-abus. Nous avons pu arrêter l’attaque en une heure environ.
Bien que les coordonnées aient été consultées et utilisées par la campagne, nos enquêtes montrent qu’aucune autre donnée n’a été exposée. Les utilisateurs n’ont aucune action à entreprendre dans le cadre de cet événement ; toute personne souhaitant examiner les applications de tiers connectées à son compte peut se rendre sur le site de Google Security Check.
Par coïncidence, l’application Gmail pour Android a été mise à jour plus tôt afin d’afficher une alerte de phishing lorsque l’utilisateur touche des liens suspects. Cette fonctionnalité – qui a fait ses débuts dans Gmail for web il y a un an – semble utiliser la fonction de navigation sécurisée de Google, qui catalogue les sites connus pour héberger des logiciels malveillants ou tenter de tromper les utilisateurs pour qu’ils abandonnent des informations.
Cependant, comme le note Engadget, cette protection n’aurait pas empêché l’attaque des faux “Google Docs”, car elle consistait en un lien vers une page de connexion Google elle-même.
