Phishing : un service Google peut en tromper un autre

Google fait-il trop confiance à ses services ? Kasperky Lab ne l’affirme pas, mais ses observations le suggèrent.

L’éditeur russe a constaté que le filtre antispam de Gmail avait tendance à laisser passer les éléments provenant des autres services du groupe américain.

Des pirates se sont engouffrés dans la brèche, avec plusieurs vecteurs d’attaque.

Google Photos en fait partie. Par défaut, les utilisateurs reçoivent une notification sur Gmail lorsque quelqu’un partage une image avec eux. Il est possible d’y glisser un commentaire contenant un lien malveillant.

Google Analytics permet le même subterfuge, en accompagnement des données d’audience délivrées en pièce jointe.

Google Agenda permet d’aller plus loin.
Par défaut, avec l’application mobile, les invitations reçues sur Gmail sont automatiquement intégrées dans le calendrier. Il suffit d’y ajouter un lien malveillant et celui-ci s’affichera, entre autres, dans les notifications de rappel.

Kaspersky a mis le doigt sur une campagne de phishing exploitant ce canal. Les liens pointaient généralement vers un questionnaire.
Pour obtenir leur récompense après l’avoir rempli, les utilisateurs devaient fournir des informations personnelles (nom, adresse, numéro de téléphone)… et donner leur numéro de carte.

Dans l’application mobile Google Agenda, l’ajout automatique des invitations peut être désactivée dans les paramètres, rubrique « Événements ajoutés à partir de Gmail »).

Photo d’illustration © ra2studio – Shutterstock.com