28 octobre 2020

Google Docs utilisé par les pirates dans 65 % des attaques pour voler les identifiants de connexion

Les chercheurs en cybersécurité ont déclaré vendredi avoir identifié un nouveau type d’attaque par usurpation d’identité qui utilise les sites de partage de fichiers et de stockage de Google comme Google Docs pour tromper les victimes et leur faire partager leurs identifiants de connexion.

Sur les quelque 100 000 attaques par formulaire détectées entre le 1er janvier et le 30 avril, Google Docs a été utilisé dans 65 % des attaques, ce qui représente 4 % de toutes les attaques par harponnage au cours des quatre premiers mois de 2020, a déclaré Barracuda Networks, un des principaux fournisseurs de solutions de sécurité et de protection des données dans le nuage.

Dans le contexte de la pandémie mondiale, les cybercriminels utilisent de plus en plus les coronavirus comme appât pour tromper les utilisateurs non avertis en tirant parti de leur peur et de leur incertitude.

Dans ce type d’attaque d’usurpation d’identité, les escrocs utilisent des sites de fichiers, de partage de contenu ou d’autres sites de productivité comme docs.google.com ou sway.office.com pour convaincre les victimes de leur remettre leurs identifiants. “Les pirates profitent de l’attention accrue portée à COVID-19 pour distribuer des logiciels malveillants, voler des informations d’identification et escroquer les utilisateurs pour leur soutirer de l’argent. Bien que les tactiques de phishing soient courantes par nature, il s’agit d’un nouveau type d’attaque basée sur la forme que nos chercheurs n’ont cessé de détecter depuis le début de l’année”, a déclaré Murali Urs, directeur de Barracuda Networks pour l’Inde.

Les attaquants se font passer pour des courriels qui semblent avoir été générés automatiquement par un site de partage de fichiers légitime tel que OneDrive et emmènent leur victime sur un site de phishing via un site de partage de fichiers légitime.

Une autre tactique consiste à créer un formulaire en ligne en utilisant des services légitimes comme forms.office.com.

Les formulaires ressemblent à une page de connexion d’un service légitime, et le lien vers le formulaire est ensuite inclus dans les e-mails de phishing pour récolter des informations d’identification.

Ces attaques d’usurpation d’identité sont difficiles à détecter car elles contiennent des liens pointant vers des sites web légitimes qui sont souvent utilisés par des organisations, ont déclaré les chercheurs.

Lors des récentes attaques basées sur les formulaires, les attaquants ont utilisé 25 % de storage.googleapis.com, 23 % de docs.google.com, 13 % de storage.cloud.google.com et 4 % de drive.google.com.

En comparaison, les marques Microsoft ont été visées dans 13 % des attaques : onedrive.live.com (6 %), sway.office.com (4 %) et forms.office.com (3 %).

Les autres sites utilisés dans les attaques d’usurpation d’identité sont sendgrid.net (10 %), mailchimp.com (4 %) et formcrafts.com (2 %). Tous les autres sites représentaient 6 % des attaques basées sur des formulaires.

“Il incombe maintenant aux entreprises de mettre en place des solutions pour empêcher les attaquants de contourner les échappatoires de courrier électronique, les filtres antispam et de traquer les adresses IP suspectes. Les utilisateurs devraient eux aussi pouvoir identifier les courriels suspects et les signaler afin de réduire la fréquence de ces attaques”, a suggéré M. Urs.