Le fondateur et développeur principal d’Ethereum Name Service (ENS) a mis en garde ses abonnés sur X contre une attaque de phishing « extrêmement sophistiquée ». Celle-ci usurpe l’identité de Google pour tromper les utilisateurs et leur soutirer leurs identifiants de connexion.
Cette attaque exploite l’infrastructure de Google pour envoyer une fausse alerte indiquant que les données Google de l’utilisateur sont partagées avec les autorités dans le cadre d’une assignation judiciaire, a expliqué Nick Johnson (ENS) dans un post publié sur X le 16 avril.
« L’email passe le contrôle de signature DKIM, et Gmail l’affiche sans aucune alerte – il est même intégré dans la même conversation que d’autres vraies alertes de sécurité », a-t-il précisé.
Dans le cadre de l’attaque, les utilisateurs sont invités à consulter les documents du dossier ou à contester la décision en cliquant sur un lien vers une page d’assistance. Ce lien redirige vers une page créée via Google Sites – un outil permettant de concevoir un site Web hébergé sur un sous-domaine de Google, précise Johnson.
« À partir de là, on peut supposer que les attaquants récupèrent vos identifiants de connexion pour compromettre votre compte ; je n’ai pas poussé l’analyse plus loin », ajoute-t-il.
L’utilisation du nom de domaine Google rend l’email particulièrement crédible, mais Johnson note qu’il existe tout de même des signes révélateurs d’un phishing – comme le fait que le message soit redirigé depuis une adresse email privée.
Les pirates exploitent les outils de Google
Dans un rapport publié le 11 avril, l’entreprise de cybersécurité EasyDMARC explique que cette arnaque repose sur une utilisation malveillante de Google Sites.
Toute personne disposant d’un compte Google peut créer un site qui paraît légitime, hébergé sur un domaine de confiance appartenant à Google, ce qui renforce l’illusion de sécurité.
Les attaquants utilisent également l’application OAuth de Google. L’astuce principale consiste à inscrire n’importe quel nom dans le champ « nom de l’application », et à exploiter un domaine enregistré via Namecheap pour configurer une adresse d’envoi du type no-reply@google.com, tandis que l’adresse de réponse peut être totalement différente.
« Ensuite, ils transfèrent le message à leurs victimes. Comme DKIM ne vérifie que le contenu et les en-têtes du message, et non l’enveloppe, l’email passe la validation de signature et s’affiche comme un message légitime dans la boîte de réception de l’utilisateur – y compris dans le fil des vraies alertes de sécurité », explique Johnson.
Google prépare des contre-mesures
Interrogé par Cointelegraph, un porte-parole de Google a confirmé que l’entreprise est consciente de cette méthode d’attaque et qu’elle est en train de désactiver le mécanisme utilisé par les hackers pour insérer des textes de longueur arbitraire dans leurs messages, ce qui rendra cette technique inutilisable à l’avenir.
« Nous avons identifié ce type d’attaque ciblée, menée par le groupe Rockfoils, et nous déployons depuis une semaine des protections spécifiques. Celles-ci seront bientôt totalement opérationnelles, ce qui bloquera définitivement cette méthode d’exploitation », a indiqué le porte-parole.
« En attendant, nous encourageons les utilisateurs à adopter l'authentification à deux facteurs et les passkeys, qui offrent une protection solide contre ce type de campagnes de phishing ».
Le porte-parole a également précisé que Google ne demandera jamais à un utilisateur de fournir ses identifiants privés – y compris mots de passe, codes à usage unique ou notifications push – ni ne l’appellera directement.