Google a averti mercredi que des pirates lançaient des attaques de phishing ciblées contre des centaines de Gmail les utilisateurs du compte, y compris les hauts responsables du gouvernement américain, les militants politiques chinois, le personnel militaire et les journalistes. Cette histoire, telle que relatée dans un article sur le blog officiel de Googlea été raconté dans des centaines de médias aujourd’hui comme le dernier exemple de cyberespionnage chinois : l’article principal de l’édition imprimée de Le journal de Wall Street aujourd’hui, c’était « Google : e-mail piraté en Chine ».
Le fait que des pirates informatiques lancent des attaques par e-mail extrêmement sophistiquées qui semblent remonter à la Chine fait la une des journaux, mais ce n’est pas exactement une nouvelle. Je suis surpris par le peu de médias qui ont pris le temps d’expliquer les mécanismes derrière ces attaques ciblées, car ils offrent un aperçu précieux de la raison pour laquelle les gens qui devraient vraiment savoir mieux continuent de tomber amoureux d’eux. Un compte rendu plus complet des attaques peut donner aux internautes réguliers une meilleure idée du calibre des escroqueries susceptibles de les cibler quelque part sur la route.
Google a déclaré que « le but de cet effort semble avoir été de surveiller le contenu des e-mails des utilisateurs ciblés, les auteurs utilisant apparemment des mots de passe volés pour modifier les paramètres de transfert et de délégation des personnes. (Gmail vous permet de transférer vos e-mails automatiquement et d’autoriser d’autres personnes à accéder à votre compte.) «
Cette déclaration m’a un peu fait flipper. À quand remonte la dernière fois que vous avez vérifié si vos paramètres de transfert d’e-mails avaient été modifiés ? Si vous êtes comme moi, probablement jamais. C’est peut-être l’aspect le plus utile de la divulgation de Google, et il contient quelques indications utiles sur la façon de vérifier ces paramètres dans Gmail. Google a également profité de cette occasion pour rappeler aux utilisateurs l’intérêt d’activer la vérification en deux étapes, une précaution de sécurité que j’ai soulignée dans un article de blog de février.
À mon avis, le contenu le plus précieux de l’entrée du blog Google est une note de bas de page qui pointe vers le Blog de vidage de logiciels malveillants Contagio, une ressource incroyablement détaillée et perspicace (quoique légèrement dangereuse) pour obtenir des informations sur les attaques ciblées. Il convient de noter que Google s’est appuyé sur Contagio pour reconstituer le déroulement des attaques, et l’auteur, le blogueur Mila Parkour – a écrit pour la première fois sur ces attaques il y a près de quatre mois.
La plupart des attaques par e-mail ciblées relatées sur le blog de Parkour impliquent des pièces jointes empoisonnées qui exploitent les failles logicielles du jour zéro dans des programmes tels que Adobe Flash ou Microsoft Word. Cette campagne encourageait également les gens à cliquer sur un lien pour télécharger un fichier, mais le fichier était plutôt une page HTML qui imitait la page de connexion de Gmail. La page d’escroquerie a également été personnalisée pour remplir le nom d’utilisateur Gmail de la cible. Contagiodump a une page de preuve de concept disponible sur ce lien qui montre l’attaque exacte, à l’exception de « JDoe » dans le champ du nom d’utilisateur.
Parkour a également publié un graphique informatif soulignant les différences entre la fausse page de connexion Google et la page légitime sur https://mail.google.com.
Certains lecteurs peuvent penser qu’ils ne sont pas assez importants pour justifier des attaques de phishing ciblées comme celles-ci, mais la vérité est que ces attaques de phishing peuvent être automatisées assez facilement. Je serais prêt à parier qu’il ne faudra pas longtemps avant que des cyber-escrocs plus traditionnels et motivés financièrement commencent à intégrer ces techniques dans leurs e-mails frauduleux.
Le long de ces lignes vient un article de blog aujourd’hui du fournisseur de sécurité Fiduciairelequel averti que les escrocs utilisent à nouveau intelligemment déguisé LinkedIn invite à imposer des logiciels malveillants voleurs de mots de passe. Trusteer a déclaré que cette dernière attaque avait commencé par une simple demande de connexion par e-mail qui semblait provenir d’un autre utilisateur du service de réseau social. Les utilisateurs qui cliquent sur le lien sont redirigés vers un site en Russie équipé d’une version du Blackhole Exploit Pack, qui tente d’installer silencieusement une copie du Cheval de Troie ZeuS en soulevant un évier de cuisine plein d’exploits de navigateur aux visiteurs.
L’image ci-dessous, tirée du blog de Trusteer, montre la requête LinkedIn piégée en haut ; l’image ci-dessous montre à quoi ressemble une demande LinkedIn légitime. Auriez-vous pu les différencier ?
Image courtoisie Trusteer
Voici quelques conseils simples qui peuvent vous aider à éviter de devenir la prochaine victime de ces méthodes d’attaque :
- Gardez votre logiciel à jour. Les sites Web légitimes à fort trafic sont constamment piratés et semés de kits d’exploitation. Profitez de programmes comme celui de Secunia Inspecteur des logiciels personnels ou Vérificateur de mise à jour de Filehippo pour rester au courant des dernières mises à jour de sécurité.
- Soyez extrêmement judicieux lorsque vous cliquez sur des liens dans des e-mails. Essayez d’éviter de répondre aux invitations en cliquant sur des liens dans les e-mails. Je remarque que Twitter a maintenant commencé à envoyer des e-mails lorsque quelqu’un retweete vos messages : évitez également de cliquer dessus. Il est plus sûr de gérer ces comptes en visitant les sites manuellement, de préférence en utilisant un signet plutôt que de taper ces noms de sites dans la barre d’adresse du navigateur.
- Portez une attention particulière au contenu de la barre d’adresse : La vérification de cette zone peut empêcher de nombreuses attaques par e-mail. Rester vigilant ici peut également bloquer des attaques beaucoup plus furtives, telles que le tabnabbing.
- Envisagez d’utiliser un client de messagerie, tel que celui de Mozilla Oiseau-tonnerre, pour gérer vos messages. C’est une bonne idée d’afficher les e-mails en texte brut au lieu d’autoriser l’affichage du code HTML dans les e-mails par défaut.