Home » Nouvelles » Phishing : Envoyer des emails légitimes (DKIM, Google, Indétectable)
Nouvelles

Phishing : Envoyer des emails légitimes (DKIM, Google, Indétectable)

by Nouvelles

Une campagne de phishing sophistiquée a été découverte, exploitant des services Google légitimes pour contourner les mesures de sécurité traditionnelles. Cette attaque, particulièrement insidieuse, combine OAuth et Google Sites pour voler des identifiants tout en paraissant authentique.

Ce type de phishing est redoutable car il permet :

L’envoi de courriels signés par [email protected].
 L’hébergement de pages de phishing sur sites.google.com.
L’évitement des filtres anti-spam,des alertes de sécurité et des soupçons des utilisateurs.

fonctionnement de l’attaque

Table of Contents

L’attaque se déroule en plusieurs étapes :

  1. Configuration de l’infrastructure malveillante : L’attaquant enregistre un domaine et crée un compte Google.
  2. Création d’une submission malveillante dans Google Cloud (OAuth) : L’attaquant configure l’écran de consentement OAuth avec un nom d’application trompeur, par exemple « 🚨 Alerte de Sécurité de Google 🚨 Se detectó un nuevo inicio de sesión desde Chrome en windows. ¿Fuiste tú? [Revisar Actividad] ».
  3. Autorisation de l’application : Google envoie un courriel d’alerte à l’attaquant, signé par google.com (DKIM: PASS), contenant le nom de l’application.
  4. Renvoi du courriel aux victimes : La signature DKIM reste valide lors du renvoi, car elle ne vérifie pas la route SMTP. Gmail affiche le courriel comme légitime, sans avertissement.

Page de phishing hébergée sur Google Sites

Le lien dans le courriel redirige l’utilisateur vers une page hébergée sur Google Sites. L’attaquant crée une fausse page de connexion Google, incitant l’utilisateur à saisir ses identifiants, qui sont ensuite envoyés au serveur de l’attaquant. L’attaquant peut également capturer des cookies de session ou des jetons pour contourner l’authentification multi-facteurs (MFA).

Pourquoi cette attaque est-elle efficace ?

Plusieurs facteurs contribuent à l’efficacité de cette attaque :

DKIM/SPF/DMARC : Le courriel provient réellement de Google et passe toutes les validations.
Validation visuelle : Gmail affiche le courriel comme légitime, sans bannières d’avertissement.
 Contexte du fil de discussion : L’attaque peut s’insérer dans des fils de discussion existants d’alertes légitimes.
filtrage des liens : Les liens pointent vers sites.google.com,un domaine de confiance.
 Formation des utilisateurs : Les utilisateurs sont formés à faire confiance à « google.com », ce que l’attaquant exploite.

Vulnérabilités techniques exploitées

L’attaque exploite plusieurs vulnérabilités :

  1. Injection dans le nom de l’application OAuth : Google autorise des noms longs et manipulables, qui apparaissent dans les courriels d’alerte.
  2. Limitation du DKIM : DKIM ne vérifie pas l’adresse SMTP de destination, permettant le renvoi de courriels avec une signature valide.
  3. Abus de Google Sites : Google Sites permet l’intégration de contenu HTML et utilise des URLs commençant par google.com, renforçant la confiance visuelle.

Exemple de déroulement de l’attaque


[1] La victime reçoit :
    📩 Courriel de [email protected]
    📌 Objet : "Alerta de Seguridad: Se otorgaron nuevos permisos"

[2] Clic sur “Revisar Actividad”
    🔗 Lien vers 

[3] Apparition d'une fausse page de connexion
    👤 L'utilisateur saisit ses identifiants

[4] L'attaquant reçoit :
    - Nom d'utilisateur et mot de passe
    - Jetons de session (si capturés)
    - Possibilité de contourner l'authentification multi-facteurs

Recommandations pour les équipes de sécurité

Surveillance et détection

Détecter l’utilisation de sites.google.com/view/ comme origine de connexion.
Analyser les courriels contenant des noms d’applications OAuth suspects dans le corps du message.
 Mettre en œuvre des règles dans SIEM pour détecter les fils de discussion contenant des courriels renvoyés depuis Google avec un contenu inhabituel.

Sensibilisation des utilisateurs

Ne jamais faire confiance uniquement au cadenas ou à « google.com ».
 Valider l’URL de connexion :
https://accounts.google.com
 ❌ `
* En cas d'alerte suspecte, accéder directement à accounts.google.com`.

Réponse de Google

Initialement, Google a considéré ce comportement comme « attendu » et ne l’a pas qualifié de vulnérabilité.Cependant, après la diffusion publique de l’affaire, la société a confirmé qu’elle corrigerait l’abus dans OAuth lors d’une future mise à jour. Le problème du phishing via Google Sites reste sans solution structurelle.

Phishing Sophistiqué Ciblant Google : Comment Ça marche et Comment se Protéger

Introduction

Une campagne de phishing sophistiquée a été découverte, exploitant les services légitimes de Google pour contourner les mesures de sécurité traditionnelles. Cette attaque, particulièrement insidieuse, combine OAuth et Google Sites pour voler des identifiants tout en paraissant authentique.

Comment cette attaque de phishing fonctionne

Aperçu

Ce phishing se distingue par son utilisation de services Google légitimes pour tromper les utilisateurs. Il utilise des courriels qui semblent provenir de Google et des pages de phishing hébergées sur Google Sites pour voler des identifiants.

Étapes de l’attaque

  1. Configuration de l’infrastructure malveillante : L’attaquant enregistre un domaine et crée un compte Google.
  2. Création d’une soumission malveillante dans Google Cloud (OAuth) : L’attaquant configure l’écran de consentement OAuth avec un nom d’application trompeur.
  3. Autorisation de l’application : Google envoie un courriel d’alerte à l’attaquant, signé par google.com.
  4. Renvoi du courriel aux victimes : La signature DKIM reste valide lors du renvoi, car elle ne vérifie pas la route SMTP. Gmail affiche le courriel comme légitime, sans avertissement.

Pourquoi c’est efficace?

Les courriels semblent provenir de [email protected].

Les pages de phishing sont hébergées sur sites.google.com.

L’attaque contourne les filtres anti-spam et les alertes de sécurité.

Vulnérabilités Exploités

Injection dans le nom de l’application OAuth.

Limitation du DKIM.

Abus de Google sites.

Exemple de déroulement de l’attaque

  1. La victime reçoit un courriel de [email protected] avec un objet suspect.
  2. la victime clique sur un lien qui redirige vers une page de phishing.
  3. La victime entre ses identifiants.
  4. L’attaquant récupère les identifiants, les jetons de session et a la possibilité de contourner l’authentification multi-facteurs.

Recommandations de sécurité

Surveillance et détection

Détecter l’utilisation de sites.google.com/view/ comme origine de connexion.

Analyser les courriels contenant des noms d’applications OAuth suspects.

Utiliser des règles SIEM pour détecter les courriels renvoyés depuis Google avec un contenu inhabituel.

Sensibilisation des utilisateurs

Ne pas faire confiance uniquement au cadenas ou à « google.com ».

Valider l’URL de connexion.

Accéder directement à accounts.google.comen cas de doute.

Réponse de Google

Initialement,Google a considéré ce comportement comme « attendu ». La société a confirmé qu’elle corrigera l’abus dans OAuth lors d’une future mise à jour.

FAQ

Qu’est-ce que le phishing ?

Le phishing est une technique utilisée par les cybercriminels pour voler des informations sensibles comme les identifiants en se faisant passer pour une entité de confiance.

Comment puis-je savoir si un courriel est une tentative de phishing ?

Méfiez-vous des courriels non sollicités, des erreurs grammaticales et orthographiques, des demandes d’informations personnelles et des liens suspects.

Que dois-je faire si je pense avoir été victime de phishing ?

Changez immédiatement vos mots de passe, signalez l’incident à Google et à votre établissement bancaire, et analysez votre appareil à la recherche de logiciels malveillants.

Pourquoi ces attaques sont-elles difficiles à détecter ?

elles utilisent des services google légitimes,contournent les filtres anti-spam et les alertes de sécurité,et peuvent ressembler à des courriels authentiques.

Tableau Récapitulatif

| Caractéristique | Description |

| :——————————– | :———————————————————————————- |

| Stratégie | Combinaison d’OAuth et Google Sites |

| Cibles | Utilisateurs de Google |

| Méthode | Courriels frauduleux et pages de phishing hébergées sur Google Sites |

| Objectif | Vol d’identifiants, contournement de l’authentification multifactorielle |

| Vulnérabilités Exploitées | Injection OAuth, limitation DKIM, abus des Google Sites |

| Mesures de protection | vigilance face aux courriels suspects, vérification des URL, authentification à deux facteurs |

You may also like

Bhargavastra : L’Inde contre les essaims de drones

Zelensky : Les États-Unis veulent son absence au...

Vocabulary Bowl : Les écoles de Floride, Tennessee,...

Arket Vienne : Ouverture du premier magasin en...

Fraude à Saint-Ouen : enquête sur des fausses...

Ukraine : Refus de reconnaître le droit, junge...

Disc Medicine : Présentations multiples à l’EHA 2025

Indonésie : 33 usines de valorisation énergétique pour...

Mitchell déçu après l’élimination des Cavs

Fortuna Düsseldorf : Siebert et le renforcement de...

Leave a Comment

This site uses Akismet to reduce spam. Learn how your comment data is processed.