Google a confirmé une attaque sophistiquée ciblant les utilisateurs de Gmail, révélée publiquement par Nick Johnson, développeur de la plateforme Ethereum. Le phishing s’appuie sur Google Sites pour héberger des pages malveillantes reproduisant fidèlement les portails de support de Google. Le message prétendait notifier une assignation judiciaire et incitait l’utilisateur à fournir ses identifiants. Les courriels passaient les vérifications DKIM, apparaissaient comme légitimes et s’intégraient aux fils de discussion existants, ce qui a contourné les filtres antispam de Gmail. Google a depuis bloqué le vecteur utilisé et publié des recommandations, notamment l’usage de l’authentification à deux facteurs et des passkeys.
Analyse de nos experts
Cette attaque illustre un tournant critique dans le hameçonnage de type credential theft : l’exploitation d’une infrastructure légitime comme Google Sites pour contourner les mécanismes de détection traditionnels. Le passage réussi des vérifications DKIM et l’intégration dans des échanges existants révèlent une parfaite maîtrise des protocoles d’authentification et de la présentation des messages. Le prétexte juridique employé joue sur l’urgence et la pression psychologique, deux leviers classiques mais ici intégrés dans une exécution particulièrement crédible. Si la réponse de Google a été rapide, le fait que l’attaque ait été initialement ignorée par les mécanismes internes de protection démontre les limites actuelles face à des abus discrets mais sophistiqués. L’usage de passkeys et de méthodes MFA résistantes au phishing devient un impératif stratégique. Ce type d’opération ne repose pas sur une innovation technique, mais sur une exécution chirurgicale parfaitement alignée sur les failles comportementales des utilisateurs.
Lire l’article complet ici.
