Conseils

Les leçons à tirer du piratage de Gmail : comment éviter les arnaques par phishing ?

Natasha Pearce, 26 juillet 2017

Les arnaques par email sont plus sophistiquées que jamais. Avast vous explique comment esquiver les ruses employées.

« Cher utilisateur, votreamiejeannedupont@jeannedupont.com vous a envoyé un email vous invitant à modifier le document suivant qu'elle a partagé avec vous. »

Avez-vous déjà vu cela ? Pour la plupart d'entre nous, il est de plus en plus courant d'être avertis par email que nos contacts veulent partager des fichiers.

Ce type de message est devenu un autre moyen pour les pirates de partir à la pêche aux informations de contact, mots de passe et identités en ligne.

Des appâts bien plus sophistiqués pour les nouvelles attaques de phishing

L'attaque massive de phishing dont Gmail a été victime en mai dernier a seulement eu besoin d'une heure (entre son déclenchement et le moment où Google a désactivé les comptes malveillants et a corrigé la faille) pour frapper plus d'un million d'utilisateurs.

Bien que, dans ce cas, l'objet de l'email n'était pas 100 % identique à ce que vous verriez dans un véritable email de partage de documents de Google, le bouton Ouvrir dans Google Docs paraissait authentique, de quoi duper facilement les destinataires peu méfiants.

phishing-google-docs-gmail.jpg

 Aperçu d'une invitation à ouvrir le document dans Google Docs.

Lorsque les victimes cliquaient sur le lien, elles étaient dirigées vers une page de connexion Google, qui leur demandait leurs informations d'identification pour accorder à « Google Docs » l'accès à leurs comptes.

Cette attaque particulièrement sophistiquée se basait sur une habitude que nous avons presque tous : analyser l'en-tête de l'email et ouvrir instinctivement les messages provenant d'une adresse email connue.

Dans ce cas, pour être à l'abri, vous auriez dû remarquer que même si le message était envoyé par une personne figurant dans votre liste de contacts, le champ À était bidon : tous les emails étaient adressés à hhhhhhhhhhhhhhhh@mailinator.com. Tous les destinataires effectifs (comme vous !) étaient dans le champ Cci.

Quiconque cliquait sur ce lien malveillant donnait au pirate l'accès à l'intégralité de son compte Gmail : contacts, mots de passe et authentification pour d'autres comptes. C'est la raison pour laquelle elle s'est propagée aussi vite.

Ce type d'attaque, qui génère ce que l'on appelle un jeton OAuth (qui a frappé Microsoft, Google, Facebook et Twitter en 2014), exploite notre tendance à rester connecté sur plusieurs appareils, à nos comptes email et sur les réseaux sociaux.

Pourquoi ne s'agit-il plus seulement d'emails ?

Vous connaissez probablement les conseils ci-dessous pour éviter les emails malveillants mais il peut être utile de les rappeler car vous serez protégé contre la majorité des menaces si vous les suivez :

1. Sachez identifier les emails frauduleux : Des fautes d'orthographe dans l'en-tête (les champs ÀDe , Cc , etc.), dans les adresses email de l'expéditeur ou des destinataires, des caractères étranges...

Tous ces éléments sont des signaux d'alarme. Montrez-vous très prudent si vous figurez seulement dans le champ Cci. Vérifiez avec l'expéditeur via un compte email séparé (ou avec votre service informatique, si vous êtes au travail) pour voir si le message est sûr.

2. Utilisez la validation en deux étapes : Dites-vous qu'il s'agit d'une deuxième couche de protection venant compléter votre utilisation d'un mot de passe fort. Si quelqu'un essaie de pirater vos comptes, la validation en deux étapes nécessitera une identification par email et sur votre téléphone.

Cependant, l'attaque « OAuth » du mois de mai est si sournoise que la validation en deux étapes ne vous protègera pas.

Il convient alors d'adopter une autre pratique lorsque vous utilisez des emails sur le web ou toute autre plateforme en ligne : SE DÉCONNECTER.

Pour quelles raison la déconnexion constitue-t-elle l'option la plus sûre ?

Pour contrecarrer l'escroquerie d'OAuth, déconnectez-vous de Facebook, Twitter, LinkedIn, Gmail, Instagram ou tout autre service nécessitant une connexion. Et faites-le à chaque fois que vous avez fini de l'utiliser.

Pour citer Tom's Guide : « Vous devrez vous reconnecter la prochaine fois, ce qui est quelque peu ennuyant, mais au moins, vous saurez que personne d'autre ne peut voler votre jeton et se connecter sans votre permission. »

Il y a plus d'un détail auquel vous devez faire attention si vous voulez vous sentir plus en sécurité et savoir que votre compte email est protégé contre le phishing : Téléchargez un logiciel anti-phishing fort et fiable. 

Avast Internet Security détecte les escroqueries par email en surveillant votre appareil de près pour bloquer les menaces avant qu'elles ne surviennent.

Étant donné que l'attaque de mai contre Gmail est probablement loin d'être la dernière, repenser non seulement vos habitudes d'utilisation des emails mais aussi des plateformes en ligne doit être votre priorité absolue.

Le fait que les cybercriminels continuent à trouver et à créer de nouvelles façons de voler vos informations ne signifie pas que vous devez mordre à l'hameçon.

Merci d’utiliser Avast Antivirus et de nous recommander à vos amis et votre famille.Pour toutes les dernières actualités, n’oubliez pas de nous suivre sur FacebookTwitter et Google+.

Image : TaxCredits.net