Une arnaque de phishing en cours consiste à abuser des invitations Google Agenda et des pages Google Drawings pour voler des informations d’identification tout en contournant les filtres anti-spam.
Selon CheckPoint, qui surveille l’attaque de phishing, les auteurs de la menace ont ciblé 300 marques avec plus de 4 000 courriels envoyés en quatre semaines.
CheckPoint a déclaré à Breachtrace que les attaques ciblaient un large éventail d’entreprises, notamment des établissements d’enseignement, des services de santé, des entreprises de construction et des banques.
L’attaque commence avec les acteurs de la menace utilisant Google Agenda pour envoyer des invitations à des réunions qui semblent assez inoffensives, surtout si vous reconnaissez certains des autres invités.
Ces invitations contiennent, comme illustré ci-dessous, un lien menant à Google Forms ou Google Drawings qui invite l’utilisateur à cliquer sur un autre lien, généralement déguisé en reCAPTCHA ou en bouton d’assistance.
Les chercheurs en messagerie électronique de Check Point ont déclaré à Breachtrace qu’en utilisant les services Google Agenda pour lancer les invitations de phishing, ils contournent les filtres anti-spam car ils proviennent d’un service Google légitime.
« Les attaquants ont utilisé les services Google Agenda, ce qui a donné l’impression que les en-têtes étaient tout à fait légitimes et impossibles à distinguer des invitations envoyées par n’importe quel utilisateur typique de Google Agenda », a déclaré Check Point à Breachtrace .
Les chercheurs ont partagé une image des en-têtes des e-mails, montrant qu’ils ont réussi les contrôles de sécurité des e-mails DKIM, SPF et DMARC, permettant à l’invitation de phishing d’atterrir dans les boîtes de réception des cibles.
Pour doubler le nombre d’e-mails de phishing envoyés à la cible, les auteurs de la menace peuvent également annuler l’événement Google Agenda et inclure un message qui sera envoyé aux participants.
Ce message peut également inclure un lien, tel qu’un lien Google Drawings, pour diriger davantage les cibles vers des pages de phishing.
L’hameçonnage de Google Agenda n’est pas nouveau, Google ayant précédemment déployé des protections permettant aux utilisateurs de bloquer plus facilement ces types d’invitations.
Toutefois, si un administrateur de l’espace de travail Google n’active pas ces protections, des invitations continueront d’être automatiquement ajoutées à vos calendriers.
Check Point recommande aux utilisateurs de se méfier de toutes les invitations à une réunion reçues et, s’ils vous invitent à cliquer sur un lien, ignorez-les à moins que vous ne fassiez confiance ou confirmiez l’expéditeur.