Des cybercriminels utilisent les notifications officielles de Google Tasks pour dérober des identifiants professionnels. Une technique redoutable, repérée par Kaspersky, qui joue sur la confiance que l'on accorde, souvent sans y penser, aux outils du géant américain.
Des hackers ont trouvé la parade pour tromper les salariés : ils se glissent dans les notifications légitimes de Google Tasks pour les pousser à livrer leurs identifiants d'entreprise. Kaspersky nous indique ce jeudi avoir identifié cette campagne de phishing plutôt sophistiquée, qui s'appuie sur l'ingénierie sociale et la confiance accordée aux outils Google. Une technique redoutable, capable de déjouer même les dispositifs de sécurité les plus robustes, qui mérite quelques explications.
Quand Google devient (malgré lui) le meilleur déguisement des hackers
Tout part d'un e-mail en apparence parfaitement banal, expédié depuis une adresse officielle de Google, avec pour objet « Vous avez une nouvelle tâche ». Et c'est là toute la perversité du stratagème : ce message n'est pas un faux. Il est authentique, et réellement envoyé depuis les serveurs de Google, ce qui explique pourquoi personne ne le soupçonne.
Les hackers créent en fait une fausse tâche dans Google Tasks et la partagent avec leurs cibles. Rappeons que Google Tasks est une application de gestion de tâches et de listes intégrée aux services de la firme de Mountain View. Ici, ce qu'explique Kaspersky, c'est que le système de Google se charge alors lui-même d'envoyer la notification. Le message demande de remplir un formulaire de « vérification de l'employé », marqué en haute priorité, à traiter d'urgence. Un cocktail bien dosé pour pousser à cliquer sans réfléchir.
En cliquant sur le lien intégré, la victime atterrit sur une page frauduleuse qui imite un portail interne d'entreprise. Elle entre ses identifiants, persuadée de faire ce qu'on lui demande. Mais il est trop tard, car ces accès sont désormais entre les mains des attaquants, qui peuvent s'en servir pour pénétrer les systèmes, voler des données ou préparer d'autres attaques.
Se protéger d'une menace qui se réinvente en permanence
Ce qui rend cette attaque si efficace, c'est qu'elle retourne la confiance des utilisateurs contre eux. Roman Dedenok, expert Anti-Spam chez Kaspersky, affirme que « le vaste écosystème de services de Google est exploité par des escrocs. Les notifications provenant de domaines officiels échappent naturellement à de nombreux filtres anti-spam, tandis que l'aspect "ingénierie sociale", faisant croire à un processus interne à l'entreprise, fait baisser la garde de la victime. » Le double effet est garanti, donc, car les outils de sécurité ne voient rien, et l'employé ne se doute de rien.
Les cybercriminels ont compris qu'un e-mail suspect ne trompe plus grand monde, alors ils changent de méthode : plutôt que de se déguiser en inconnus, ils se glissent dans des plateformes que tout le monde utilise et reconnaît. Google Tasks aujourd'hui, un autre service populaire demain. Face à ça, former et sensibiliser les salariés doit devenir une priorité absolue.
Et pour se protéger justement, Kaspersky recommande d'adopter des réflexes simples, mais potentiellement efficaces. Par exemple, il faut toujours penser à vérifier l'adresse d'un lien avant de cliquer dessus, ne jamais entrer ses identifiants après une demande inattendue, signaler les e-mails suspects et activer la double authentification sur ses comptes professionnels. Des gestes du quotidien qui, mis bout à bout, peuvent faire toute la différence face aux cybercriminels.
