Une nouvelle technique de phishing commence à se répandre sur la Toile : l’utilisation des commentaires sur Google Docs. Quand vous commentez une partie d’un document Google – texte, tableur ou présentation – il est possible de s’adresser directement à quelqu’un en utilisant le préfixe « @ ». Google se charge alors de prévenir la personne interpellée en lui envoyant une alerte par e-mail.
A découvrir aussi en vidéo :
Les experts de la société de sécurité Avanan ont constaté que cette fonctionnalité était de plus en plus utilisée dans des attaques par hameçonnage. Récemment, ils ont observé une campagne qui ciblait des centaines d’utilisateurs Outlook. Mais en réalité, tout le monde peut se retrouver en ligne de mire.
En effet, le préfixe « @ » fonctionne avec n’importe quelle adresse e-mail. Il n’est pas nécessaire d’avoir un compte Google pour recevoir une alerte d’un commentaire. D’ailleurs — comme nous avons pu le constater nous-mêmes — quand on utilise ce préfixe, Google ouvre automatiquement le carnet d’adresses, ce qui facilite l’insertion de l’adresse e-mail.
Le problème, c’est que l’alerte envoyée affiche l’intégralité du commentaire. Et il est même possible d’y insérer des liens. Les pirates peuvent donc utiliser la fonction de commentaire pour envoyer leurs messages trompeurs en toute tranquillité. Comme ils sont envoyés par Google, ils ne seront pas filtrés par l’antispam de la messagerie. Si le message est bien fait, le destinataire sera incité à cliquer sur le lien qui l’emmènera vers un site malveillant, par exemple pour lui voler ses identifiants bancaires. Pour se protéger, c’est simple : ne jamais cliquer sur un lien provenant de Google.
Source : Avanan
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.