Une nouvelle méthode de phishing émerge, utilisant des techniques sophistiquées pour tromper même les utilisateurs les plus avertis de Gmail. Ce stratagème malveillant, basé sur de fausses notifications, profite de plateformes légitimes pour manipuler et voler des informations sensibles.
Une nouvelle méthode de phishing cible Gmail avec des techniques sophistiquées
Il est bien connu que Gmail est l’un des services de messagerie les plus utilisés au niveau mondial. C’est précisément pourquoi il est devenu une cible privilégiée pour de nombreux cybercriminels. Récemment, une campagne de phishing d’une grande sophistication a été identifiée, capable de duper des milliers d’utilisateurs et même certains développeurs, familiarisés avec ce type de menace.
Ce qui est particulièrement inquiétant n’est pas seulement la volonté de voler des identifiants, une intention habituelle dans ce genre de fraude, mais le niveau de détail et le réalisme de ce stratagème malveillant.
La fausse notification de boîte vocale qui a déclenché les alertes
D’après les rapports de Malwr-analysis, la méthode débute par un courriel entrant dans la boîte de réception, avec pour objet “Nouvelle notification vocale”. L’expéditeur est falsifié et le message contient un bouton incitant à écouter la prétendue boîte vocale.
A première vue, cela semble authentique. De plus, les attaquants se servent de la plateforme Microsoft Dynamics, un service de marketing digital légitime, pour héberger la première phase de l’escroquerie. Cela permet à l’email de contourner les filtres anti-spam de Gmail, ce qui augmente sa crédibilité.
Le lien dans le courriel redirige l’utilisateur vers un site web identique à celui de la page de connexion de Gmail.
En cliquant, l’utilisateur est redirigé vers une page affichant un faux CAPTCHA, conçu pour rassurer. Une fois ce test passé, une réplique exacte de l’écran de connexion de Gmail apparaît. C’est à ce moment qu’on demande le nom d’utilisateur, le mot de passe et même les codes de vérification en deux étapes.
Étonnamment, l’escroquerie ne s’arrête pas là. Selon les analystes en sécurité, le site frauduleux utilise du JavaScript avec un chiffrement AES et des techniques anti-debugging. Cela signifie que si quelqu’un tente d’analyser le code, le système redirige vers le site officiel de Google pour masquer toute suspicion.
De plus, les données dérobées sont envoyées vers des serveurs à l’étranger via des canaux chiffrés, compliquant ainsi leur détection.
Comment se protéger contre ce type d’escroqueries ?
Face à des fraudes aussi élaborées, la meilleure défense reste la prévention. Il est conseillé de se méfier des courriels inattendus contenant des boutons de lien direct vers de prétendues messages vocaux, factures ou documents. En cas de doute, il est crucial de se connecter directement à votre compte via l’application ou le site officiel, sans utiliser les liens fournis dans le courriel.
Par ailleurs, Google préconise d’utiliser des passkeys, un système de connexion basé sur la biométrie (empreinte, visage ou code PIN) qui élimine le besoin de mots de passe et réduit considérablement le risque de phishing.
Pour terminer, les escroqueries évoluent constamment, et les utilisateurs doivent également s’adapter. Une simple négligence peut permettre aux cybercriminels d’accéder non seulement à votre compte Gmail, mais aussi à tous les services liés à votre compte Google.