Les attaquants profitent de la fonction de commentaire de Google Docs pour envoyer des e-mails contenant des liens malveillants, déclare Avanan

L’une des tactiques préférées des cybercriminels consiste à exploiter des produits légitimes à des fins illégitimes Et plus le produit est populaire, plus grandes sont les chances de succès Un nouveau rapport publié jeudi par le fournisseur de sécurité de messagerie Avanan examine une nouvelle campagne de phishing qui abuse d’une fonctionnalité populaire de Google Docs pour déployer des e-mails malveillants.

Pour aider les gens à collaborer sur les mêmes documents, Google Docs propose une fonction de commentaire Lors de l’ajout d’un commentaire à un document, vous pouvez inclure l’adresse e-mail d’une personne à qui vous souhaitez attribuer une tâche associée Cette action déclenche ensuite un e-mail à la personne affectée

Dans cette campagne particulièrement sournoise, les attaquants ajoutent un commentaire à un document Google puis mentionnent la cible en tapant le symbole @ suivi d’une adresse e-mail Le commentaire complet, cependant, comprend un lien malveillant qui déclenchera une infection par un logiciel malveillant s’il est activé via l’e-mail envoyé

Découvertes par Avanan en décembre 2021, les attaques ont principalement touché les utilisateurs de Microsoft Outlook, mais ont également touché des destinataires sur d’autres plateformes de messagerie Jusqu’à présent, plus de 500 boîtes de réception ont été ciblées dans 30 organisations différentes, les pirates utilisant plus de 100 comptes Gmail différents.

Ce type de campagne d’hameçonnage peut contourner les défenses de sécurité traditionnelles et un examen minutieux pour plusieurs raisons clés

Tout d’abord, l’e-mail lui-même provient d’un service Google légitime, il est donc susceptible d’échapper à la détection et d’être approuvé par les utilisateurs à première vue

Deuxièmement, l’e-mail comprend uniquement le nom d’affichage de l’attaquant et non son adresse e-mail, ce qui signifie que les filtres anti-spam peuvent ne pas l’attraper Et comme le pirate informatique peut usurper le nom d’un collègue ou d’un contact de confiance, le destinataire pourrait plus facilement tomber dans le piège de l’arnaque.

Troisièmement, la victime n’a même pas besoin d’accéder au document car la charge utile malveillante est contenue uniquement dans l’e-mail L’attaquant n’a même pas besoin de partager le document, car le simple fait de mentionner l’adresse e-mail du destinataire dans le commentaire fera l’affaire.

Avanan a déclaré avoir informé Google de cet exploit le 3 janvier via le bouton Signaler un hameçonnage par e-mail dans Gmail Cependant, les utilisateurs doivent toujours être à l’affût de cette attaque Pour aider les gens à se protéger de cette arnaque, Avanan propose les conseils suivants :

Renforcez les défenses de sécurité informatique de votre organisation en vous tenant au courant des dernières nouvelles, solutions et meilleures pratiques en matière de cybersécurité
Livré les mardis et jeudis

Lance Whitney est une rédactrice et formatrice indépendante en technologie et une ancienne professionnelle de l’informatique Il a écrit pour Time, CNET, PCMag et plusieurs autres publications Il est l’auteur de deux livres techniques, l’un sur Windows et l’autre sur LinkedIn

Glossaire rapide : métaverse

Politique d’utilisation du cloud OneDrive

Politique d’utilisation d’iCloud

Liste de contrôle Oracle Linux : que faire après l’installation

Google, Exploit, Phishing, Avanan, Cyberattaque

Actualités – États-Unis – Des pirates informatiques exploitent Google Docs dans une nouvelle campagne de phishing

Source: https://www.techrepublic.com/article/hackers-exploit-google-docs-in-new-phishing-campaign/

En s’appuyant sur ses expertises dans les domaines du digital, des technologies et des process , CSS Engineering vous accompagne dans vos chantiers de transformation les plus ambitieux et vous aide à faire émerger de nouvelles idées, de nouvelles offres, de nouveaux modes de collaboration, de nouvelles manières de produire et de vendre.

CSS Engineering s’implique dans les projets de chaque client comme si c’était les siens. Nous croyons qu’une société de conseil devrait être plus que d’un conseiller. Nous nous mettons à la place de nos clients, pour aligner nos incitations à leurs objectifs, et collaborer pour débloquer le plein potentiel de leur entreprise. Cela établit des relations profondes et agréables.

Nos services:

  1. Création des sites web professionnels
  2. Hébergement web haute performance et illimité
  3. Vente et installation des caméras de vidéo surveillance
  4. Vente et installation des système de sécurité et d’alarme
  5. E-Marketing

Toutes nos réalisations ici https://www.css-engineering.com/en/works/