Les meilleures analyses crypto directement dans votre boîte mail.
Une faille de sécurité chez Google permet une attaque de phishing convaincante ciblant les utilisateurs de cryptomonnaies
- Les développeurs d'ENS alertent les utilisateurs sur les vulnérabilités de l'infrastructure Google permettant à des personnes mal intentionnées de voler lesdentdes utilisateurs.
- Les vulnérabilités qui affectent Google Email et Google Sites permettent aux acteurs de phishing de créer des alertes de sécurité qui semblent authentiques.
- Google n'a pas encore réagi face à ces vulnérabilités, tandis que les pirates informatiques déploient diverses méthodes pour voler les données des utilisateurs.
Nick Johnson, développeur principal Ethereum Name Service (ENS), a alerté les utilisateurs de cryptomonnaies sur une nouvelle forme d'escroquerie par hameçonnage ciblant l'infrastructure de Google. Dans un article publié sur X, Johnson explique comment les escrocs exploitent une vulnérabilité de l'infrastructure de Google.
D'après Johnson, des escrocs peuvent envoyer des courriels légitimes informant les utilisateurs qu'une assignation a été signifiée à Google pour qu'ils fournissent des informations relatives à leur compte Google. Cette alerte de sécurité, d'apparence parfaitement authentique, invite l'utilisateur à contester l'assignation ou à consulter les pièces du dossier.
Il a dit :
« Premièrement, il faut noter qu’il s’agit d’un courriel valide et signé – il a bien été envoyé depuis [email protected]. Il passe avec succès la vérification de signature DKIM et Gmail l’affiche sans aucun avertissement – il le place même dans la même conversation que d’autres alertes de sécurité légitimes. »
Une fois que les utilisateurs cliquent sur le lien dans l'e-mail, ils doivent se connecter à la prétendue page d'assistance. Or, l'URL de ce portail d'assistance est sites.google.com, une ruse visant à tromper les utilisateurs et à leur faire croire qu'il est authentique. Selon Johnson, cette fausse page d'assistance est probablement un site d'hameçonnage où des escrocs récupèrent lesdentde connexion des utilisateurs.
Le développeur d'ENS a indiqué que la vulnérabilité persistera probablement, d'autant plus que Google a refusé d'agir. Il est donc important que les utilisateurs soient vigilants et prennent les mesures nécessaires pour se protéger.
Des escrocs exploitent Google Sites pour créer de fausses pages d'assistance
Par ailleurs, Johnson a expliqué comment des personnes mal intentionnées créaient de fausses pages d'assistance Google d'apparence authentique. Selon lui, sites.google.com est un service ancien du géant technologique qui permet aux utilisateurs d'héberger leur contenu sur le sous-domaine Google.com.
Il a fait remarquer que le produit autorise les scripts et les intégrations, ce qui permet aux escrocs de créer des sites de collecte d'dentsur le sous-domaine de Google et d'en télécharger de nouveaux chaque fois que l'équipe Google supprime les anciennes versions.
Johnson a déclaré :
« Google a compris depuis longtemps qu'héberger du contenu public, défini par l'utilisateur, sur google.com était une mauvaise idée, mais Google Sites est resté. »
Il a toutefois fait remarquer que la seule solution à ce problème est que Google désactive les scripts et les intégrations arbitraires pour ses sites Google, car cela fait du produit un puissant outil d'hameçonnage pour les escrocs.
Signalement de bug à Google
Il est intéressant de noter que les escrocs génèrent ce faux courriel d'alerte de sécurité en exploitant une faille de sécurité dans Gmail. Dans son analyse, Johnson a relevé des indices tels que l'en-tête indiquant l'expéditeur « privateemail.com », le destinataire « me@blah » et l'espace blanc sous le message d'hameçonnage.
D'après lui, les escrocs ont procédé en créant un compte Google pour Me@domain. Ensuite, ils ont créé une application Google OAuth en utilisant le texte du courriel d'hameçonnage, des espaces et « Google Legal Support » comme nom d'application.
Une fois cette étape franchie, ils ont autorisé l'application OAuth à accéder à leur compte Google « moi@… », ce qui leur a permis de générer le message d'alerte de sécurité de Google vers l'adresse e-mail « moi@ ». Ils ont ensuite transmis cette alerte de sécurité à toutes les cibles potentielles.
Étant donné que Google a généré l'e-mail d'alerte de sécurité initial, celui-ci était signé avec une clé DKIM valide, a contourné tous les contrôles de sécurité et est apparu comme un message légitime dans la boîte de réception de l'utilisateur.
Johnson a toutefois indiqué avoir signalé le problème à Google, mais le géant technologique a décidé de ne pas y donner suite. L'équipe de sécurité de Google a classé le dossier, précisant que la fonctionnalité « fonctionne comme prévu », ce qui signifie qu'elle ne le considère pas comme un bug.
Parallèlement, un rapport faisant état d'escrocs exploitant des failles de sécurité de Google pour voler les informations des utilisateurs met en lumière les multiples menaces qui pèsent sur les utilisateurs de cryptomonnaies. Il y a quelques jours seulement, des experts en sécurité affirmaient que des pirates informatiques utilisaient le logiciel malveillant InfoStealers pour dérober lesdentdes utilisateurs directement depuis leur navigateur.
Les plus grands experts en cryptomonnaies lisent déjà notre newsletter. Envie d'en faire partie ? Rejoignez-les!
Avertissement : Les informations fournies ne constituent pas un conseil en investissement. CryptopolitanCryptopolitan.com toute responsabilité quant aux investissements réalisés sur la base des informations présentées sur cette page. Nous voustrondentdentdentdentdentdentdentdent et/ou de consulter un professionnel qualifié avant toute décision d’investissement.
LES
- Quelles cryptomonnaies peuvent vous faire gagner de l'argent ?
- Comment renforcer la sécurité de votre portefeuille (et lesquels valent vraiment la peine d'être utilisés)
- Stratégies d'investissement peu connues utilisées par les professionnels
- Comment débuter en investissement crypto (quelles plateformes d'échange utiliser, quelles cryptomonnaies acheter, etc.)