Google a reconnu une vulnérabilité dans l’application Google Agenda, laquelle a été exploitée par les cybercriminels pour injecter des articles faux et malveillants.
Plusieurs campagnes de phishing sur Google Agenda ont été détectées au cours de l’été 2019. Lors de ces campagnes, des spams de Google Agenda ont été envoyés à un grand nombre d’utilisateurs, notamment des invitations à des événements et d’autres demandes et offres spéciales qui sont apparues sur les écrans des utilisateurs sans méfiance.
Ces notifications contenaient des liens qui redirigent les utilisateurs vers des pages Web où les utilisateurs pouvaient trouver plus d’informations sur les événements et les offres spéciales. S’ils acceptent les événements, ceux-ci vont être insérés dans les calendriers des utilisateurs et déclencher des notifications automatiques. Les offres et les invitations continuent à apparaître jusqu’à ce que les utilisateurs cliquent sur le lien. Pourtant, ces liens dirigent les utilisateurs vers des pages de phishing où leurs informations d’identification vont être recueillies par les pirates.
Certaines escroqueries exigeaient la saisie des renseignements concernant la carte de crédit de leurs victimes. D’autres exigent que l’utilisateur ouvre une session à l’aide de ses renseignements d’identification Office 365. Des liens peuvent également diriger les utilisateurs vers des pages web où entrainer le téléchargement de malwares par « drive-by » (une des méthodes utilisées par les cybercriminels pour pénétrer un ordinateur à l’insu de son propriétaire).
La plupart des gens sont conscients de la menace que représentent les courriels de phishing, les e-mails malveillants et les messages via les médias sociaux qui recueillent des informations sensibles. Mais les attaques contre les services de Google Agenda sont relativement rares. Par conséquent, de nombreux utilisateurs ne reconnaîtront pas ces notifications et éléments de calendrier comme étant malveillants, en particulier lorsqu’ils apparaissent dans une application de confiance telle que Google Agenda.
Malheureusement, ces attaques sont possibles, car n’importe qui peut envoyer un événement de Google Agenda à un utilisateur. Cet événement sera inséré dans le calendrier de l’utilisateur et déclenchera automatiquement des notifications, comme c’est le cas pour les événements légitimes.
En plus des événements, les messages peuvent inclure des offres spéciales, des notifications de prix en espèces, des alertes sur des transferts d’argent et toutes sortes d’autres messages pour inciter l’utilisateur à cliquer sur un lien malveillant, divulguer des informations sensibles ou télécharger des malwares.
Google Agenda n’est pas le seul service de calendrier qui est sujet à ces attaques. Les utilisateurs d’Apple ont également été ciblés, tout comme les utilisateurs d’autres applications de calendrier.
Comment bloquer les attaques de phishing par Google Agenda ?
Récemment, un employé de Google a reconnu l’augmentation du « spam du calendrier » et a confirmé que des mesures étaient prises par Google pour régler le problème.
En attendant, les utilisateurs peuvent empêcher l’apparition de ces messages malveillants et le phishing en modifiant les paramètres de l’application. Les utilisateurs doivent naviguer dans Paramètres d’événement > Ajouter automatiquement des invitations, et sélectionner l’option « Non, n’afficher que les invitations auxquelles j’ai répondu » et décocher l’option « Afficher les événements refusés » dans « Options de vue ».
Les entreprises devraient également envisager d’inclure les escroqueries de phishing sur Google Agenda dans leurs programmes de sensibilisation à la sécurité. Le but est de s’assurer que les employés sachent que les attaques de phishing ne se font pas seulement via des e-mails, des messages texte, des appels téléphoniques et des messages via les médias sociaux.