• Usurpation de l'agenda Google : Comment les attaquants l'utilisent pour les escroqueries par hameçonnage

Usurpation de l'agenda Google : Comment les attaquants l'utilisent pour les escroqueries par hameçonnage

Blog

L'usurpation de l'agenda Google est la dernière tactique d'hameçonnage visant à tromper les utilisateurs avec de fausses invitations. Découvrez comment cela fonctionne et comment vous protéger de ces escroqueries.

par Milena Baghdasaryan

Temps de lecture : 8 min
Usurpation de l'agenda Google : Comment les attaquants l'utilisent pour les escroqueries par hameçonnage
Table des matières-

Au cours des derniers mois, les experts en cybersécurité se sont montrés de plus en plus préoccupés par une forme délicate d'escroquerie par hameçonnage : l'usurpation de l'agenda Google. Dans cette attaque complexe et sophistiquée, les attaquants envoient de fausses invitations à des réunions d'apparence légitime qui redirigent les invités vers des sites web d'hameçonnage. Ces sites ressemblent beaucoup à la plateforme officielle de Google, ce qui rend ces attaques encore plus dangereuses et incite les utilisateurs à saisir des informations sensibles ou à cliquer sur des liens malveillants.

Les chercheurs de Check Point ont récemment découvert un cas d'usurpation d'agenda Google dans lequel des pirates ont ciblé 300 organisations avec plus de 4 000 invitations de calendrier usurpées en seulement quatre semaines. Une telle ampleur montre à quel point l'usurpation de l'agenda Google peut être dangereuse et rend impératif la détection et la prévention de telles attaques.

Points clés à retenir

  • Les cybercriminels utilisent les fonctionnalités de Google Calendar pour envoyer des courriels de phishing qui se présentent comme des invitations légitimes.
  • Google Calendar compte plus de 500 millions d'utilisateursCe qui fait de cette plateforme une cible vulnérable, dont l'exploitation peut mettre en danger des millions d'utilisateurs du monde entier.
  • Les pirates utilisent des outils intégrés tels que Google Forms et Google Drawings, ce qui rend ces attaques encore plus dangereuses. 
  • En l'espace de quatre semaines seulement, plus de 4 000 courriels de phishing ont été détectés dans le cadre d'une campagne d'usurpation de Google Calendar, qui a touché pas moins de 300 marques.
  • Les principales mesures de sécurité consistent à activer la fonction "expéditeurs connus", à éviter les invitations suspectes et à renforcer la sécurité du courrier électronique.

Comment fonctionne l'usurpation d'identité de l'agenda Google

Vous trouverez ci-dessous les étapes d'une tentative réussie d'usurpation de l'agenda Google : 

Exploiter les fonctions d'invitation du calendrier

Usurpation de l'agenda Google

Les pirates exploitent les fonctionnalités conviviales de Google Calendar pour envoyer des courriels de phishing qui ressemblent à des invitations légitimes à des réunions. Dans un premier temps, les pirates ont exploité les fonctionnalités inhérentes à Google Calendar et ont inclus des liens vers Google Forms. Cependant, l'attaque est devenue encore plus complexe et dangereuse au fil du temps, lorsque les pirates se sont rendu compte que les filtres de sécurité et les passerelles étaient en mesure de signaler les invitations malveillantes de Google Calendar. 

Actuellement, l'attaque a évolué pour s'aligner sur les capacités de Google Drawings. Souvent, les liens vers les formulaires Google, Google Drawings ou les pièces jointes des fichiers ICS contiennent un CAPTCHA ou un bouton d'assistance.

La faille par défaut de Google Calendar

Par défaut, Google ajoute automatiquement invitations au calendrier à l'agenda d'un utilisateur, même si l'invitation n'a pas été sollicitée. Les attaquants en profitent pour insérer des liens malveillants dans les calendriers des utilisateurs sans nécessiter d'interaction par courrier électronique.

Manipulation des en-têtes de courriels et usurpation d'identité de l'expéditeur

Des chercheurs ont découvert que les cybercriminels peuvent contourner les filtres anti-spam en envoyant des invitations de phishing par l'intermédiaire de Google Agenda, car les courriels semblent provenir d'un service légitime de Google. Étant donné que les attaquants utilisent Google Calendar, les en-têtes des courriels semblent réels et ne peuvent pas être distingués des invitations de calendrier authentiques. Les chercheurs ont partagé un instantané de ces en-têtes, montrant que les courriels d'hameçonnage sont arrivés dans les boîtes de réception parce qu'ils ont passé les contrôles de sécurité DKIM, SPF et DMARC.

Les attaquants peuvent également annuler l'événement du calendrier et ajouter une note qui sera envoyée par courrier électronique aux participants, doublant ainsi le nombre d'e-mails de phishing envoyés. Ce message peut inclure un lien, par exemple vers Google Drawings, afin d'inciter les victimes à visiter des sites d'hameçonnage.

Les courriels d'hameçonnage concernant le calendrier Google contiennent un fichier de calendrier (.ics) accompagné d'un lien vers Google Forms ou Google Drawings. Dès que le destinataire clique sur le premier lien, il est invité à cliquer sur un autre lien malveillant, qui apparaît souvent sous la forme d'un reCAPTCHA ou d'un bouton d'assistance.

Ces tactiques sont assez courantes dans les courriels d'hameçonnagequi sont conçus pour inciter les destinataires à révéler des informations sensibles ou à effectuer des actions qui profitent au cybercriminel. Reconnaître ces caractéristiques communes des courriels d'hameçonnage peut vous aider à rester protégé en ligne et à ne pas être victime de ces manœuvres.

Fausses pages d'assistance et escroqueries aux crypto-monnaies

Après avoir cliqué sur le lien malveillant, les victimes sont redirigées vers des sites web frauduleux conçus pour voler des informations personnelles ou des données d'entreprise. Ces pages imitent souvent des pages d'atterrissage de minage de crypto-monnaie, des sites d'assistance Bitcoin ou de faux processus d'authentification dans le but de collecter des données sensibles et des informations de paiement.

Pourquoi l'agenda Google est-il une cible pour les escrocs ?

Google Agenda est l'une des plateformes les plus utilisées au monde ; plus de 500 millions d'utilisateurs du monde entier utilisent cette plateforme pour planifier leurs réunions et gérer leur temps. Il fait partie de Espace de travail Google et est disponible en 41 langues.

Les invitations à l'agenda sont souvent plus fiables que les courriels de phishing classiques, car les utilisateurs ont l'habitude de les recevoir et d'interagir avec eux régulièrement. Cela contribue également au succès et à l'efficacité des attaques par usurpation d'agenda Google. 

L'impact des escroqueries par hameçonnage de l'agenda Google

Google Calendar Les escroqueries par hameçonnage peuvent entraîner des pertes financières importantes et des violations de données, tant pour les particuliers que pour les organisations. Lorsque les attaquants volent des informations personnelles et financières, ils peuvent les utiliser pour des fraudes à la carte de crédit, des transactions non autorisées ou pour contourner les mesures de sécurité sur d'autres comptes.

L'attaque récente a touché environ 300 marques issues d'un large éventail de secteurs, notamment des établissements d'enseignement, des services de santé, des entreprises de construction et des banques.

Pour atténuer les risques liés à ces attaques, les organisations doivent mettre en œuvre les mesures suivantes mesures de protection contre l'usurpation de domaine de protection contre l'usurpation de domaine. Ces mesures peuvent contribuer à empêcher l'utilisation non autorisée du nom de domaine d'une entreprise dans le cadre de tentatives d'hameçonnage et d'autres activités frauduleuses.

La dernière attaque : 300 organisations ciblées par l'usurpation de l'agenda de Google

Les chercheurs de Check Point ont identifié une campagne de phishing complexe qui a envoyé plus de 4 000 invitations de calendrier usurpées à 300 organisations en l'espace de quatre semaines seulement. Les attaquants ont manipulé les en-têtes des courriels pour que les invitations paraissent légitimes, comme si elles avaient été envoyées par Google Calendar au nom d'individus connus, de confiance et légitimes.

La principale motivation des attaquants était le gain financier, car ils cherchaient à inciter les utilisateurs à fournir des informations sensibles ou à accéder à des données d'entreprise. Ces informations permettaient ensuite aux cybercriminels de se livrer à des fraudes à la carte de crédit, d'effectuer des transactions non autorisées et de contourner les mesures de sécurité sur d'autres comptes.

L'attaque commence généralement par un fichier de calendrier (.ics) ou des liens vers de fausses pages d'assistance intégrés dans les courriels d'hameçonnage. Les utilisateurs sont ensuite invités à s'authentifier, à saisir des informations personnelles et à fournir des détails de paiement sur des pages de renvoi frauduleuses, souvent déguisées en sites de minage de crypto-monnaies ou d'assistance Bitcoin.

Réponse de Google et mesures de sécurité

Activer le paramètre "expéditeurs connus

Pour éviter l'usurpation d'identité dans Google Agenda, il est utile d'utiliser le paramètre "Expéditeurs connus" de Google Agenda. En fait, Google lui-même recommande l'utilisation de cette fonction en réponse aux nombreux stratagèmes d'usurpation d'identité de Google Agenda. Comme l'indique déclaré par un porte-parole de Google, l'activation du paramètre "Uniquement si l'expéditeur est connu" dans Google Agenda "permet de se défendre contre ce type d'hameçonnage en alertant l'utilisateur lorsqu'il reçoit une invitation d'une personne qui ne figure pas dans sa liste de contacts et/ou avec laquelle il n'a pas interagi par le passé à partir de son adresse électronique".

Pratiques générales de sécurité suggérées par Google

Outre l'utilisation du paramètre spécifique "Expéditeurs connus", Google propose également des suggestions générales pour améliorer les pratiques de sécurité en ligne et les rendre plus efficaces. Par exemple, les utilisateurs peuvent essayer de 

  • Réviser et ajuster les paramètres du calendrier de temps à autre.
  • Se méfier des invitations inattendues, en particulier celles qui leur demandent d'entreprendre une action suspecte. Savoir identifier les alertes de sécurité légitimes de alertes de sécurité Google peut vous aider à vous protéger contre les tentatives d'hameçonnage sophistiquées.
  • Vérifier l'adresse électronique de l'expéditeur avant qu'il n'accepte l'invitation.

Conseils d'experts pour se protéger contre l'hameçonnage du calendrier

Soyez prudent avec les invitations à des événements

Vous devez examiner attentivement les invitations inattendues et les coordonnées de l'expéditeur afin de déceler d'éventuelles incohérences, erreurs ou tout autre élément suspect. Soyez particulièrement attentif aux invitations qui tentent de créer un sentiment d'urgence, de FOMO, ou qui demandent une action immédiate. Vous pouvez utiliser des outils d'analyse du comportement pour détecter les activités inhabituelles sur votre compte. 

Avant de cliquer sur un lien, survolez-le pour vérifier l'URL. Cela vous donnera au moins une idée de ce dont il s'agit. En ce qui concerne les liens, vous pouvez également utiliser des solutions avancées de sécurité du courrier électronique qui vérifient la réputation des URL. Un autre conseil utile est de ne pas télécharger de pièces jointes provenant de sources inconnues, car elles peuvent être malveillantes et infecter votre appareil avec toutes sortes de virus. 

Renforcer la sécurité des comptes

Pour renforcer la sécurité de votre compte, veillez à activer l'authentification à deux facteurs (2FA) pour votre compte Google. Si vos informations d'identification sont compromises, l'authentification à deux facteurs peut toujours empêcher les pirates d'accéder au compte de la victime. Utilisez également des mots de passe forts et uniques pour chaque compte en ligne et veillez à ce qu'ils ne contiennent pas d'informations personnelles (nom, date de naissance, etc.) susceptibles d'être facilement devinées par des pirates. Essayez de mettre régulièrement à jour les paramètres de sécurité de tous les services Google, tout en gardant votre système d'exploitation et vos applications à jour. 

Suivre les règlements

Les exigences ne sont souvent pas destinées à vous punir ou à vous compliquer la vie, mais à vous offrir le degré de protection le plus élevé possible. Google et Yahoo ont récemment introduit de nouvelles exigences en matière d'authentification du courrier électronique pour les expéditeurs en masse, qui imposent aux expéditeurs qui envoient plus de 5 000 courriels par jour de mettre en œuvre les protocoles SPF, DKIM et DMARC. Les expéditeurs en nombre devront authentifier leurs courriels, proposer des options de désabonnement faciles et maintenir un taux de spam inférieur à 0,3 %. Ces mesures visent à protéger les utilisateurs contre les tentatives d'hameçonnage et autres activités malveillantes liées au courrier électronique.

L'évolution de la nature des campagnes d'hameçonnage

Les mesures de sécurité s'améliorent, mais les techniques des attaquants aussi. Par exemple, après s'être rendu compte que leurs stratagèmes pouvaient être détectés lorsqu'ils utilisaient Google Forms, ils sont passés à Google Drawings pour mener une attaque plus sophistiquée et plus inattendue. S'ils ont réussi à atteindre Google Drawings, il est fort probable qu'ils puissent également accéder à d'autres services Google couramment utilisés, tels que Docs et Drive, pour mener leur prochaine attaque. Il est donc important de faire preuve de souplesse et de prudence à l'égard de toutes plateformes que vous utilisez, à la fois au sein de l'espace de travail Google et au-delà.

Note de bas de page

Étant donné la fréquence d'utilisation de Google Agenda dans les communications en ligne, les escroqueries par hameçonnage qui ciblent Google Agenda requièrent une attention particulière et une action immédiate. Une attaque récente a montré à quel point ces attaques peuvent être rapides et efficaces. Il est donc essentiel, pour votre sécurité en ligne, de faire preuve de prudence et de suivre les recommandations de Google et des experts en la matière. 

Vous devez toujours vérifier les invitations inattendues, en particulier celles qui demandent des actions, et vérifier les URL avant de cliquer sur les liens des événements du calendrier. L'utilisation de l'authentification multifactorielle (MFA) et de mots de passe sécurisés peut également vous aider à renforcer votre sécurité contre ces attaques de phishing. Bien que ces attaques puissent sembler très complexes et polyvalentes, il est possible de rester protégé contre les cyberattaques les plus sophistiquées si l'on dispose des connaissances et des compétences nécessaires et si l'on adopte une bonne "hygiène" numérique. 

FAQ

Pourquoi est-ce que je reçois toujours des invitations à des calendriers non sollicités ?

Google Agenda dispose d'un paramètre spécifique qui vous permet de contrôler et de gérer la manière dont les invitations sont ajoutées à votre agenda. 

  1. Ouvrir Agenda Google.
  2. Dans le coin supérieur droit, cliquez sur Paramètres.
  3. À gauche, sous "Général", cliquez sur Paramètres des événements, puis sur Ajouter des invitations à mon calendrier.
  4. Sélectionnez l'une des options disponibles : 
    1. "De tout le monde" (cette option peut augmenter la probabilité de recevoir des invitations spam au calendrier)
    2. "Seulement si l'expéditeur est connu 
    3. "Lorsque je réponds à l'invitation par courrier électronique". 

Quel est le niveau de sécurité de Google Agenda ?

Google Agenda utilise de nombreuses fonctionnalités de sécurité, mais son degré global de sécurité dépend toujours des paramètres et des pratiques de l'utilisateur. Si vous activez l'authentification à deux facteurs, utilisez des mots de passe robustes, choisissez l'option "Uniquement si l'expéditeur est connu" et êtes généralement prudent avec les invitations provenant de sources inconnues, vous pouvez contribuer à un environnement Google Agenda plus sûr et plus sécurisé, tant pour vous que pour vos contacts.

Gmail dispose-t-il de protections anti-spoofing ?

Oui, Gmail utilise plusieurs mesures anti-spoofing, notamment les contrôles SPF, DKIM et DMARC. Toutefois, les pirates peuvent parfois contourner ces protections, d'où la nécessité d'utiliser des mesures de sécurité supplémentaires. Pour renforcer la sécurité des messages électroniques au-delà des protections intégrées de Gmail, vous devriez envisager d'utiliser des solutions DMARC avancées telles que PowerDMARC. Cette plateforme offre des outils complets d'authentification des courriels et de création de rapports afin de protéger les entreprises contre l'usurpation d'identité, le phishing et d'autres menaces basées sur les courriels.

CTA

Derniers messages de Milena Baghdasaryan (voir tous)
Accès au réseau sans confiance : Mettre fin à la confiance implicite dans la cybersécuritépublier le blog dmarc recordComment créer et publier un enregistrement DMARC ?