Selon les spécialistes en sécurité de Malwarebytes, les cybercriminels se font passer, dans le cadre de cette campagne de phishing, pour un système de sécurité de Google. Les victimes sont redirigées vers une page qui ressemble fortement à un « Security Check » officiel de Google. Au cours de ce soi-disant contrôle, les utilisateurs sont ensuite invités à installer une application de sécurité, et c’est précisément là que réside le problème.
Hameçonnage via le contrôle de
sécurité
L’attaque commence lorsque les utilisateurs accèdent à une page de sécurité contrefaite. Cette page a l’air particulièrement convaincante et donne l’impression que Google effectue un contrôle supplémentaire pour mieux protéger le compte. En réalité, il s’agit d’une page d’hameçonnage. Souvent, cette page apparaît sous forme de pop-up, par exemple sur un site web infecté ou via une publicité malveillante. Cela peut parfois se produire sur des systèmes déjà infectés par des logiciels malveillants. Comme le message semble provenir directement de Google, de nombreux utilisateurs sont enclins à suivre le contrôle de sécurité proposé.
Ceux qui le font se voient alors demander d’installer une soi-disant application de sécurité.
L’application collecte des données
sensibles
Une fois installée, l’application demande diverses autorisations, telles que l’accès au presse-papiers ou à certaines fonctions du navigateur. Lorsque les utilisateurs accordent ces droits, les pirates peuvent intercepter des informations sensibles. Cela inclut notamment les identifiants de connexion, les mots de passe et même les codes de vérification en deux étapes. En outre, le logiciel malveillant peut collecter d’autres informations. Dans certains cas, l’appareil peut même être utilisé à des fins malveillantes pour d’autres cyberattaques, sans que son propriétaire ne s’en aperçoive.
Selon les experts en sécurité, la prudence reste la meilleure défense contre ce type d’attaques de phishing. Google n’imposera jamais sans raison un contrôle de sécurité via une fenêtre contextuelle, et ne demandera certainement pas d’installer une application distincte nécessitant un accès étendu au système. L’adresse web peut également souvent fournir un indice clair. Les pages frauduleuses tentent certes de ressembler à des adresses officielles, mais contiennent généralement des URL plus longues ou d’apparence étrange. Les véritables paramètres de sécurité de Google sont par exemple accessibles via myaccount.google.com.
Une protection supplémentaire grâce aux outils de sécurité
Outre le bon sens, des outils techniques peuvent également aider à prévenir les dommages. Un gestionnaire de mots de passe, par exemple, peut faciliter l’utilisation de mots de passe forts et uniques. Par ailleurs, la vérification en deux étapes reste une couche de sécurité supplémentaire importante. Ensemble, ces mesures réduisent le risque que des cybercriminels accèdent à vos comptes, même si vous tombez accidentellement sur une page suspecte.
