Avec sa popularité croissante et son rôle central dans la gestion des tâches quotidiennes, Google Agenda est devenu une cible privilégiée pour les cybercriminels. Récemment, les experts en cybersécurité de Check Point ont révélé une nouvelle méthode d’exploitation par laquelle des acteurs malveillants détournent les outils Google tels que Google Calendar et Google Drawings. Ces derniers manipulent le contenu de certains emails qui paraissent légitimes car directement générés par Google Calendar.
Les cybercriminels modifient les en-têtes « expéditeur », donnant l’impression que les e-mails ont été envoyés via Google Agenda au nom d’une personne connue et autorisée. Cette campagne malveillante a déjà ciblé près de 300 marques avec 2 300 emails de phishing détectés par les chercheurs en cybersécurité en seulement deux semaines.
Résumé des menaces
Comme mentionné précédemment, ces attaques de phishing exploitent les fonctionnalités de Google Calendar, en intégrant des liens qui redirigent les utilisateurs vers des Google Forms malveillants.
Cependant, avec une meilleure détection des invitations malveillantes de Google Calendar par les solutions de sécurité, les cybercriminels ont ajusté leur stratégie en exploitant les fonctionnalités de Google Drawings pour poursuivre leurs attaques.
Motivations des cybercriminels
Le but de ces attaques est de manipuler les utilisateurs pour qu’ils cliquent sur des liens ou téléchargent des pièces jointes malveillantes. Les cybercriminels peuvent ainsi voler des données sensibles, personnelles ou professionnelles.
Ces informations, divulguées de manière totalement involontaire, sont rapidement exploitées par les cybercriminels. Ils leur permettent de procéder à des fraudes par carte de crédit, à des transactions non autorisées et à d’autres activités illicites similaires. De plus, ces données peuvent être utilisées pour contourner les mesures de sécurité d’autres comptes et ainsi exposer la victime à plus de risques et à des conséquences encore plus graves.
Pour les entreprises comme pour les particuliers, ce type de cyberattaque peut engendrer un stress important et avoir des répercussions durables, tant financières que psychologiques.
Techniques d’exécution d’attaques
Comme mentionné ci-dessus, les e-mails initiaux contiennent souvent un lien ou un fichier de calendrier (.ics) vers Google Forms ou Google Drawings.
Les utilisateurs sont ensuite amenés à cliquer sur un autre lien, généralement déguisé en faux reCAPTCHA ou en boutons d’aide.
Après avoir cliqué sur le lien, ils sont redirigés vers une page qui ressemble à une plateforme de minage de cryptomonnaie ou à une page d’assistance liée au Bitcoin.
Mais en réalité, ces pages sont conçues pour orchestrer des escroqueries financières. Une fois sur la page, les utilisateurs sont amenés à passer par un faux processus d’authentification, à divulguer des informations personnelles et à fournir des informations bancaires ou de paiement.
La campagne de phishing décrite ci-dessous commence par un e-mail envoyé via Google Agenda. La majorité de ces emails imitent précisément le format des notifications du calendrier officiel, tandis que certains adoptent un format personnalisé, conçu pour mieux tromper les destinataires :
Si les invitations proviennent de contacts connus, l’utilisateur risque davantage de tomber dans le piège, d’autant que le reste de l’interface semble parfaitement normal et crédible.
Bloquez cette attaque
Les entreprises qui souhaitent protéger leurs utilisateurs contre ces types d’attaques et d’autres menaces similaires doivent prendre en compte les recommandations suivantes :
Solutions avancées de sécurité de la messagerie. Des solutions telles que Harmony Email & Collaboration, par exemple, offrent une protection efficace contre les tentatives de phishing, même en exploitant des plateformes populaires comme Google Calendar ou Google Drawings. Ces outils intègrent des fonctionnalités sophistiquées, notamment une analyse approfondie des pièces jointes, une vérification de la réputation des URL et une détection des anomalies grâce à l’intelligence artificielle.
Surveillez attentivement l’utilisation des applications tierces liées à Google. Choisissez des outils de cybersécurité capables de détecter les activités suspectes sur ces applications et d’alerter votre entreprise en - réel.
Créez des mécanismes d’authentification forts. Pour renforcer la sécurité, l’une des mesures clés consiste à déployer l’authentification multifacteur (MFA) sur tous les comptes professionnels. Cette approche permet de garantir un niveau de sécurité plus élevé en rendant plus difficile l’accès non autorisé, même si les informations d’identification ont été compromises.
De plus, il est essentiel de déployer des outils d’analyse comportementale capables d’identifier les tentatives de connexion inhabituelles ou les activités suspectes, telles que la navigation sur des sites liés aux cryptomonnaies.
Pour les personnes soucieuses de protéger leur boîte de réception personnelle contre ces arnaques, voici quelques recommandations pratiques à suivre.
Méfiez-vous des fausses invitations : si une invitation contient des informations inhabituelles ou vous demande de suivre des étapes spéciales auxquelles vous n’êtes pas habitué en remplissant un CAPTCHA, ne répondez pas.
Analysez attentivement le contenu des messages reçus : prenez le - de réfléchir avant de cliquer sur un lien. Pour vérifier l’URL, survolez-la et vérifiez sa destination. Si possible, saisissez l’URL directement dans votre navigateur ou recherchez-la sur Google pour accéder au site en toute sécurité.
Activer l’authentification à deux facteurs (2FA) : pour les comptes Google et tout autre référentiel d’informations sensibles, cette mesure ajoute une couche de sécurité supplémentaire. Même si les informations d’identification sont compromises, la 2FA peut empêcher les cybercriminels d’accéder au compte concerné.
Interrogé sur ces attaques, Google a déclaré : « Nous conseillons aux utilisateurs d’activer le paramètre des expéditeurs connus dans Google Agenda. Cette option protège les utilisateurs de ce type de phishing et signale toute invitation émanant d’une personne ne figurant pas dans leur liste de contacts ou avec laquelle ils n’ont jamais échangé d’e-mails auparavant. »
