Les chercheurs en sécurité de l’entreprise Kaspersky ont mis au jour une série d’attaques de phishing visant la célèbre application Google Agenda. Et alertent quant à la dangerosité de celle-ci au regard de la légitimité, ici biaisée, de l'application de Google.

Depuis bon nombre d’années déjà, les attaques de phishing lancées auprès de particuliers et de professionnels sont monnaie courante. Tant si et bien que les utilisateurs semblent désormais prudents à la réception d’un message ou d’un email douteux. C’est pourquoi les pirates informatiques imaginent des techniques toujours plus alambiquées pour piéger leurs cibles, à l’image de la tentative d’hameçonnage observée pendant la crise politique du Venezuela, en février dernier.

Une technique huilée

Cette fois-ci, les hackers ont profité de la légitimité de Google, et plus particulièrement de l’application Agenda, pour attirer quelques victimes dans les mailles de leur filet, comme le révèlent les chercheurs en sécurité de Kaspersky. Les attaquants ont ainsi exploité une fonctionnalité activée par défaut au sein du service mobile déployé sur les appareils Android.

En profitant de cette feature commune à tous les utilisateurs Gmail sur smartphone, et après l’envoi d’emails de spam, les pirates ont pu ajouter des événements au planning de leur cible, tout en activant l’envoi de notifications automatiques. L’invitation frauduleusement ajoutée détenait alors un lien vers une adresse URL de filoutage. Bien évidemment, le destinataire était invité à cliquer dessus via une notification contextuelle.

Crédit photo : Pathum Danthanarayana via Unsplash.

Comme l’indique Wired, qui se fait le relai de cette affaire, les messages envoyés aux utilisateurs se voulaient particulièrement aguicheurs, bien que suspicieux : « Vous avez reçu une récompense financière » ou « Il existe un transfert d’argent à votre nom », pouvaient-ils recevoir. En cliquant dessus, ces derniers étaient alors redirigés vers un questionnaire, qui, une fois rempli, les récompensait soi-disant d’une somme d’argent.

Mais pour en profiter, un paiement fixe était exigé : pour ce faire, la victime n’avait d’autre choix que de rentrer les détails de sa carte de crédit, son nom, numéro de téléphone et adresse. Autant d’informations envoyées directement aux fraudeurs, libres de les utiliser pour usurper leur identité et voler leur argent.

« Cette escroquerie peut être parée »

« L’arnaque de l’agenda est un système très efficace : la plupart des gens ont l’habitude de recevoir des spams provenant d’emails ou de services de messagerie. Mais ce n’est probablement pas le cas lorsqu’il s’agit de l’application Agenda, qui a pour principal but d’organiser les informations plutôt que de les transférer », explique Maria Vergelis, chercheuse en sécurité au sein de Kaspersky.

Et de poursuivre : « La bonne nouvelle, c’est que cette escroquerie peut être parée facilement : la fonctionnalité à l’origine du problème est désactivable dans les paramètres de l’application ». Il suffit en effet de désactiver l’ajout automatique d’invitations à votre calendrier pour éviter tout malentendu. Un bon moyen de contrer ce genre d’attaque qui pourrait s’avérer fatale pour la personne piégée.

Partager sur les réseaux sociaux