- KnowBe4 est en garde contre une nouvelle campagne de phishing tirant parti de l’automatisation du flux de travail de Google Appsheets
- Les e-mails s’identifient Facebook et récoltent des informations d’identification de connexion
- Les attaquants peuvent également saisir des jetons de session
Les cybercriminels abusent d’un service Google légitime pour contourner les mécanismes de protection des e-mails et livrer des e-mails de phishing directement aux boîtes de réception des gens.
Les chercheurs de cybersécurité Knowbe4, qui ont d’abord repéré les attaques, ont averti que les escrocs utilisent Google Appsheet, une plate-forme de développement d’applications sans code pour les applications mobiles et Web, et via son automatisation de workflow a pu envoyer des e-mails à l’aide de l’adresse “noreply@appsheet.com”.
Les e-mails de phishing imitent Facebook et sont conçus pour inciter les gens à donner leurs informations d’identification de connexion et les codes 2FA pour la plate-forme de médias sociaux.
Codes 2FA et jetons de session
Les e-mails, qui ont été envoyés dans le Bulk et à une assez grande échelle, provenaient d’une source légitime, contournant avec succès Microsoft et sécurisé les passerelles par e-mail (SEG) qui reposent sur la réputation du domaine et les vérifications d’authentification (SPF, DKIM, DMARC).
En outre, comme les appsheettes peuvent générer des ID uniques, chaque e-mail était légèrement différent, ce qui a également contribué à contourner les systèmes de détection traditionnels.
Les e-mails eux-mêmes ont usurpé Facebook. Les escrocs ont tenté de tromper les victimes en pensant qu’ils ont enfreint la propriété intellectuelle de quelqu’un et que leurs comptes devaient être supprimés dans les 24 heures.
À moins, bien sûr, qu’ils soumettent un appel via un bouton «Soumettre un appel» commodément placé dans l’e-mail.
Cliquer sur le bouton conduit la victime à une page de destination imitante Facebook, où ils peuvent fournir leurs informations d’identification de connexion et les codes 2FA, qui sont ensuite relayés aux attaquants.
La page est hébergée sur Vercel qui, selon Knowbe4, est une «plate-forme réputée connue pour l’hébergement d’applications Web modernes». Cela renforce encore la crédibilité de la campagne.
L’attaque a quelques éventualités supplémentaires. La première tentative de journalisation en renvoie un «mauvais mot de passe» – non pas parce que la victime a tapé dans les mauvais informations d’identification – mais afin de confirmer la soumission.
De plus, les codes 2FA fournis sont immédiatement soumis à Facebook et en retour – les escrocs saisissent un jeton de session qui leur accorde la persistance même après un changement de mot de passe.
