Hameçonnage avec Google Apps Script

Pour voler les identifiants de connexion à la messagerie électronique des employés d’une entreprise, les cybercriminels doivent d’abord contourner la solution anti-hameçonnage qui protège les serveurs de messagerie électronique. En règle générale, ils utilisent des services Web légitimes pour passer inaperçus. La plupart du temps il s’agit de Google Apps Script, une plateforme de script basée sur le langage de programmation JavaScript.

En quoi consiste Apps Script et comment les cybercriminels s’en servent-ils ?

Apps Script est une plateforme basée sur JavaScript qui permet d’automatiser les tâches des produits Google (comme créer des add-ons pour Google Docs) et des applications tierces. Il s’agit d’un service qui permet de créer des scripts et de les exécuter dans Google.

En ce qui concerne les e-mails d’hameçonnage, les cybercriminels utilisent Apps Script pour rediriger vers une autre URL. Au lieu de placer l’URL d’un site Web frauduleux directement dans le mail, les cybercriminels peuvent mettre le lien d’un script ce qui leur permet de contourner la solution anti-hameçonnage du serveur de messagerie électronique de l’entreprise. Un lien hypertexte qui redirige vers une page Google légitime avec une bonne réputation passe à travers presque tous les filtres. Les cybercriminels ont un autre avantage : les sites frauduleux non détectés peuvent exister plus longtemps. Cette méthode donne également aux pirates informatiques la possibilité de changer le script si nécessaire (dans le cas où la solution de sécurité le détecte) ainsi que de faire quelques expériences avec la diffusion du contenu (ils peuvent par exemple renvoyer les victimes vers une version différente du site selon leur localisation).

Voici l’exemple d’une arnaque menée via Google Apps Script

Tout ce que les pirates informatiques veulent, c’est que le destinataire clique sur le lien. Récemment, le motif pour les inciter à cliquer était le message suivant : « boîte de réception pleine ». En théorie, c’est plausible.

Un e-mail d’hameçonnage ordinaire avec la technique de la boîte de réception pleine

En réalité, les pirates informatiques sont souvent négligents et laissent des signes de fraude qui devraient sauter aux yeux même des utilisateurs peu habitués avec le service de messagerie :

• L’e-mail dit provenir de Microsoft Outlook, mais le domaine de l’adresse de l’expéditeur est étranger. Un vrai message vous notifiant que votre boîte de réception est pleine doit provenir du serveur interne Exchange. (Autre signe : dans le nom du destinataire Microsoft Outlook, il manque un espace et il y a un zéro à la place de la lettre O).
• Le lien qui apparaît lorsque le pointeur survole ce dernier affiche « Régler le problème dans les paramètres de stockage » et redirige vers une page Web Google Apps Script :

Lien vers Google Apps Script

• La boîte de messagerie ne peut pas être remplie d’un jour à l’autre. Outlook informe l’utilisateur que l’espace commence à manquer bien avant d’atteindre la limite. Donc si d’un coup on dépasse la limite de 850 Mo, cela voudrait dire qu’on aurait reçu autant de courriers indésirables à la fois, ce qui est peu probable.

Voici à quoi ressemble un e-mail légitime d’Outlook :

Message légitime notifiant d’une boîte de réception presque pleine

• La phrase « Régler le problème dans les paramètres de stockage » redirige vers un site Web d’hameçonnage. Même si la page de connexion Web ici ressemble exactement à celle d’Outlook, un coup d’œil à la barre d’adresse du navigateur suffit pour savoir que la page est hébergée par un faux site Web et non par Outlook.

Comment ne pas mordre à l’hameçon

L’expérience prouve que les e-mails d’hameçonnage n’ont pas toujours besoin de contenir des liens frauduleux pour être néfastes. C’est pour cette raison qu’une entreprise doit posséder une solution de sécurité anti-hameçonnage qui protège à la fois le serveur de messagerie électronique et les ordinateurs des utilisateurs.

De plus, pour assurer une protection maximale, l’entreprise doit constamment sensibiliser ses employés aux cybermenaces actuelles ainsi qu’aux tentatives d’hameçonnage.