Les attaquants profitent de la fonction de commentaire de Google Docs pour envoyer des e-mails contenant des liens malveillants, déclare Avanan

L’une des tactiques préférées des cybercriminels consiste à exploiter des produits légitimes à des fins illégitimes Et plus le produit est populaire, plus grandes sont les chances de succès Un nouveau rapport publié jeudi par le fournisseur de sécurité de messagerie Avanan examine une nouvelle campagne de phishing qui abuse d’une fonctionnalité populaire de Google Docs pour déployer des e-mails malveillants.

Pour aider les gens à collaborer sur les mêmes documents, Google Docs propose une fonction de commentaire Lors de l’ajout d’un commentaire à un document, vous pouvez inclure l’adresse e-mail d’une personne à qui vous souhaitez attribuer une tâche associée Cette action déclenche ensuite un e-mail à la personne affectée

Dans cette campagne particulièrement sournoise, les attaquants ajoutent un commentaire à un document Google puis mentionnent la cible en tapant le symbole @ suivi d’une adresse e-mail Le commentaire complet, however, comprend un lien malveillant qui déclenchera une infection par un logiciel malveillant s’il est activé via l’e-mail envoyé

Découvertes par Avanan en décembre 2021, les attaques ont principalement touché les utilisateurs de Microsoft Outlook, mais ont également touché des destinataires sur d’autres plateformes de messagerie Jusqu’à présent, more than 500 boîtes de réception ont été ciblées dans 30 organisations différentes, les pirates utilisant plus de 100 comptes Gmail différents.

Ce type de campagne d’hameçonnage peut contourner les défenses de sécurité traditionnelles et un examen minutieux pour plusieurs raisons clés

First of all, l’e-mail lui-même provient d’un service Google légitime, il est donc susceptible d’échapper à la détection et d’être approuvé par les utilisateurs à première vue

Secondly, l’e-mail comprend uniquement le nom d’affichage de l’attaquant et non son adresse e-mail, ce qui signifie que les filtres anti-spam peuvent ne pas l’attraper Et comme le pirate informatique peut usurper le nom d’un collègue ou d’un contact de confiance, le destinataire pourrait plus facilement tomber dans le piège de l’arnaque.

Thirdly, la victime n’a même pas besoin d’accéder au document car la charge utile malveillante est contenue uniquement dans l’e-mail L’attaquant n’a même pas besoin de partager le document, car le simple fait de mentionner l’adresse e-mail du destinataire dans le commentaire fera l’affaire.

Avanan a déclaré avoir informé Google de cet exploit le 3 janvier via le bouton Signaler un hameçonnage par e-mail dans Gmail Cependant, les utilisateurs doivent toujours être à l’affût de cette attaque Pour aider les gens à se protéger de cette arnaque, Avanan propose les conseils suivants:

Renforcez les défenses de sécurité informatique de votre organisation en vous tenant au courant des dernières nouvelles, solutions et meilleures pratiques en matière de cybersécurité
Livré les mardis et jeudis

Lance Whitney est une rédactrice et formatrice indépendante en technologie et une ancienne professionnelle de l’informatique Il a écrit pour Time, CNET, PCMag et plusieurs autres publications Il est l’auteur de deux livres techniques, l’un sur Windows et l’autre sur LinkedIn

Glossaire rapide: metaverse

Politique d’utilisation du cloud OneDrive

Politique d’utilisation d’iCloud

Liste de contrôle Oracle Linux: que faire après l’installation

Google, Exploit, Phishing, Avanan, Cyber ​​attack

News – United States – Hackers exploit Google Docs in new phishing campaign

Source: https://www.techrepublic.com/article/hackers-exploit-google-docs-in-new-phishing-campaign/

Building on its expertise in the areas of digital, technologies and processes , CSS Engineering you in your most ambitious transformation projects and helps you bring out new ideas, new offers, new modes of collaboration, new ways of producing and selling.

CSS Engineering is involved in projects each customer as if it were his own. We believe a consulting company should be more than an advisor. We put ourselves in the place of our customers, to align we incentives to their goals, and collaborate to unlock the full potential their business. This establishes deep relationships and enjoyable.

Our services:

  1. Create professional websites
  2. Hosting high performance and unlimited
  3. Sale and video surveillance cameras installation
  4. Sale and Installation of security system and alarm
  5. E-Marketing

All our achievements here https://www.css-engineering.com/en/works/