Campagne de hameçonnage par courriel via « Google Docs »

Depuis mercredi après-midi, plusieurs utilisateurs de Google rapportent avoir reçu un courriel contenant un lien vers un fichier « Google Docs » de la part d’une connaissance… du moins en apparence. Ces courriels se sont avérés malicieux et ont permis à l’émetteur d’avoir accès aux comptes Gmail des utilisateurs, incluant tous leurs messages dans les dossiers classés, envoyés et supprimés, ainsi qu’à leur liste de contacts. Tout cela dans l’objectif de se servir de ces accès afin d’infecter d’autres comptes.

En cliquant sur ce lien, l’adresse vous redirige vers une page légitime appartenant à Google (apps.googleusercontent.com), mais vous demande l’autorisation d’accéder à une application nommée « Google Docs », qui elle, est d’origine frauduleuse (l’application légitime étant Google Drive).

Un des points communs de ces courriels est la présence de l’adresse hhhhhhhhhhhhhhhh@mailinator.com dans la liste d’envoi. Cette attaque semble cibler particulièrement le milieu des journalistes, mais peut potentiellement toucher divers milieux et individus.

Que faire si vous recevez ce type de courriel ?

En premier lieu, il importe de ne pas cliquer sur les liens provenant d’adresses inconnues ou de fichiers qui vous semblent suspects (un fichier sans titre, par exemple).

Si vous recevez ce type de lien vers un fichier de la part d’une personne que vous connaissez, vérifiez la validité du courriel avec cette personne au préalable (par téléphone, par exemple).

Que faire si vous avez cliqué sur le lien ?

Avoir cliqué sur le lien ne suffit pas à la propagation du ver; il faut avoir autorisé le fonctionnement  de l’application malicieuse « Google Docs ». Si c’est le cas, on vous invite à suivre les démarches suivantes pour retirer l’autorisation à l’application « Google Docs » dans « Applications connectées à mon compte »:

  1. Rendez-vous sur la page des autorisations votre compte Google.
  2. Localisez la section concernant l’application « Google Docs »: bien que tout semble légitime, ce n’est pas le cas, il s’agit de l’application frauduleuse. Il suffit alors de simplement retirer l’autorisation pour cette application.

Google aurait prit les initiatives nécessaires pour limiter la propagation du ver en supprimant la page frauduleuse et en bloquant le compte de l’émetteur, mais nous invite tout de même à signaler les courriels frauduleux à cette adresse de support.

Crypto.Québec vous rappelle qu’en tout temps, il est préférable de redoubler de prudence avant de cliquer sur un lien suspect ou provenant de personnes inconnues.

Facebooktwittergoogle_plusredditpinterestlinkedintumblrmailFacebooktwittergoogle_plusredditpinterestlinkedintumblrmail

Publié par

Jessie Wala Ahmad

Jessie Wala Ahmad

Jessie a un certificat en criminologie et est présentement étudiante au baccalauréat en sécurité et études policières à l’École de Criminologie de l’Université de Montréal. Provenant d’un milieu militant, elle a longtemps été impliquée dans diverses causes politiques et sociales. Aujourd’hui, elle s’intéresse particulièrement à la surveillance de masse et la vie privée, à la cybercriminalité, au darknet, à la trace (criminalistique), au renseignement (OSINT) et aux métadonnées. Elle s’implique chez Crypto.Québec car elle croit à l’importance de sensibiliser aux enjeux de la surveillance et démocratiser l’information sur la sécurité numérique.