Les cybercriminels profitent du Google Cloud pour lancer des campagnes de phishing et voler des informations sur les comptes.
Selon « Check Point Research », les cybercriminels utilisent les fonctions de la plateforme « Google Cloud » pour faire avancer leurs campagnes de phishing et voler les données de leurs comptes. L’équipe de recherche de Check Point® Software Technologies Ltd. a découvert une nouvelle campagne de phishing en rapport avec le « Google Cloud ». Les cybercriminels ont abusé du nom et des fonctions de cette plateforme pour accéder aux données de connexion des utilisateurs.
Lotem Finkelsteen : Les pirates informatiques se concentrent de plus en plus sur les services de stockage dans le nuage !
L’ATTAQUE COMMENCE PAR LE CHARGEMENT D’UN DOCUMENT PDF SUR LE DISQUE DUR DE GOOGLE
L’attaque commence par un document pdf, qui est chargé par les fraudeurs sur le lieu de stockage « Google Cloud » « Google Drive ». Ce fichier PDF contient un lien vers un site de phishing qui se fait passer pour un prétendu site « Office 365 » et qui affiche une fausse fenêtre de connexion.
« Si les utilisateurs y entrent leurs données de connexion, elles sont envoyées au serveur des pirates. Jusqu’à présent, c’est la procédure habituelle pour les attaques de phishing. Mais le danger est que, comme le processus passe par la plateforme « Google Cloud », l’utilisateur n’est pas averti par des signaux clairs tels que l’absence des certificats habituels du site ou le cadenas vert dans la barre d’adresse ».
OBFUSCATION À L’AIDE DES FONCTIONS DE GOOGLE CLOUD
En outre, après avoir saisi ses données d’enregistrement, l’utilisateur est en fait conduit à un rapport d’un cabinet de conseil en gestion renommé sous la forme d’un document pdf. Cela le trompe après le vol réussi de ses informations et le pèse en plus dans la sécurité.
Pour détecter les intentions malveillantes derrière cette campagne, il faudrait jeter un coup d’œil au code source du site de phishing. Cela révèle « que la plupart des contenus sont chargés à partir d’une adresse externe – qui appartient probablement aux criminels ». Cependant, les criminels utilisent les « fonctions Google Cloud » comme un outil – un service fourni par Google pour exécuter du code dans le « Google Cloud ». Les criminels sont ainsi en mesure de dissimuler la véritable origine de ce contenu externe et frauduleux.
LES UTILISATEURS DU « GOOGLE CLOUD » DEVRAIENT RÉFLÉCHIR À DEUX FOIS AVANT D’OUVRIR DES FICHIERS
« Les pirates informatiques se concentrent de plus en plus sur les services de stockage dans le nuage auxquels nous faisons confiance. Il est donc beaucoup plus difficile de détecter une attaque de phishing. Les « signaux d’alarme » traditionnels d’une attaque de phishing, tels que les noms de domaine à consonance similaire ou les sites web sans les certificats requis, ne sont pas d’un grand secours », avertit Lotem Finkelsteen, responsable du renseignement sur les menaces chez Check Point Software Technologies.
Les utilisateurs de la plateforme « Google Cloud », même les utilisateurs de « AWS » et de « MS-Azure », devraient se méfier de cette tendance qui se développe rapidement et apprendre à se protéger. Selon M. Finkelsteen, « Cela commence par le fait que les utilisateurs doivent réfléchir à deux fois avant de recevoir et d’ouvrir des fichiers par courrier électronique.