Des tentatives de phishing cachées derrière Google Translate

by chebbi abir

Une campagne surtout dangereuse sur mobile

Au mois de janvier, une nouvelle campagne de phishing (hameçonnage) a été repérée sur le Net par Akamai. Une particularité lui permet de passer sous les radars et de tromper plus facilement les internautes : les pages contrefaites se cachent derrière Google Traduction.

Phishing via Google Translate Akamai
Capture d’écran © Akamai.

Les campagnes de phishing, ou en bon français hameçonnage, n’ont de nos jours plus rien de rare. Au quotidien, des masses considérables de courriels sont envoyées dans le seul but de berner les internautes et de leur soutirer leurs identifiants pour tel ou tel service, le plus souvent au moyen d’un lien vers une fausse page d’authentification.

Le 7 janvier dernier, Larry Cashdollar, spécialiste en sécurité pour le compte d’Akamai, a reçu un message semblant provenir de Google et l’alertant d’une connexion à son compte depuis un nouvel appareil sous Windows. En bon expert, il ne s’est pas empressé de cliquer sur le bouton l’invitant à contrôler l’activité dudit compte sur son mobile ; il est passé sur son ordinateur pour d’abord examiner le courriel de plus près. L’adresse d’envoi, “facebook_secur@hotmail.com”, a immédiatement consolidé ses soupçons. En dépit d’une contrefaçon manifeste, il a néanmoins suivi le lien suggéré. Il a découvert à cette occasion un intéressant tour de passe-passe.

Un vrai Google peut en cacher un faux

En effet, si le lien mène à une fausse page d’authentification, copie de l’ancienne mouture de Google, cette imitation dispose d’un argument surprenant : elle s’affiche comme bel et bien hébergée sur le domaine https de Google. Comment est-ce possible ? C’est simple : il s’agit en fait d’un lien Google Translate (ou Google Traduction) effectuant une traduction automatique de la page. Cette manipulation a entre autres pour avantage de tromper les mécanismes de sécurité, qui n’identifient pas la source de danger. Sur desktop, le résultat est peu probant en raison du design du service de traduction de Google, qui rend l’identité du vrai domaine bien visible (cf. illustration ci-dessus). Sur mobile, en revanche, avec notamment une URL en bonne partie cachée, la supercherie paraît nettement plus crédible.

Comme c’est presque toujours le cas, si la victime se fait avoir et tente de se connecter à son compte Google, le couple identifiant + mot de passe est transmis à l’auteur de cette campagne de phishing. À ce stade, on pourrait s’attendre à ce que le pirate se contente de son butin, mais celui-ci, en particulier, semble être assez joueur. Lorsque les identifiants Google ont été enregistrés, il déclenche en effet une seconde phase : il tente de doubler la mise en demandant une connexion à Facebook. Bien évidemment, il s’agit là aussi d’une fausse page d’authentification. Mais dans ce cas, la manipulation est un peu plus grossière, le domaine n’étant pas le bon et le modèle de page utilisé accusant quelques années de retard.

Phishing Google Translate suite Facebook
Après les identifiants Google, le pirate tente Facebook. © Akamai

Lorsqu’un courriel réclame une action urgente sur un compte (Google, Facebook ou autre), il est toujours important de rester sur ses gardes. Certains messages d’alerte peuvent être aisément imités, et l’alias d’un expéditeur n’est en rien une preuve de son identité. Certaines mesures de précaution devraient être des réflexes : le contrôle de l’adresse de l’expéditeur ainsi que de l’URL de la page sur laquelle on s’apprête à se connecter.

Pour en savoir plus:

https://www.lesnumeriques.com/vie-du-net/attention-tentatives-phishing-cachees-derriere-google-translate-n83745.html#Echobox=1549731195

Top

Interdit de copier  ce contenu