Comment des cybercriminels détournent Google Cloud pour mener des attaques de phishing sophistiquées

Des cybercriminels ont trouvé une nouvelle façon d’exploiter les fonctionnalités de messagerie de Google Cloud pour mener des campagnes de phishing en plusieurs étapes. En utilisant la fonctionnalité légitime de Google Cloud Application Integration, ils envoient des e-mails frauduleux qui semblent provenir de l’infrastructure de Google, contournant ainsi les systèmes de détection habituels et la méfiance des utilisateurs.

Le détournement des fonctionnalités de Google Cloud

La méthode employée par ces cybercriminels repose sur l’exploitation de la tâche ‘Send Email’ de Google Cloud Application Integration. En théorie, cette fonctionnalité est conçue pour l’automatisation des flux de travail et l’envoi de notifications système légitimes. Cependant, en détournant cette capacité, les attaquants parviennent à envoyer des e-mails depuis des domaines appartenant à Google, rendant leurs messages difficilement détectables par les filtres de sécurité traditionnels. Pas besoin de compromettre l’infrastructure de Google, il suffit d’abuser d’un service prévu pour faciliter les opérations légitimes.

Ces e-mails imitent les notifications d’entreprise courantes, comme des alertes de messagerie vocale ou des demandes d’accès à des fichiers. Du coup, les destinataires sont enclins à faire confiance à ces messages et à cliquer sur les liens malveillants qu’ils contiennent. C’est là tout le génie — et le danger — de cette approche : elle transforme les outils de confiance en vecteurs d’attaques.

Les étapes de la campagne de phishing

Ce type de phishing ne se contente pas d’un simple e-mail. Il s’agit d’une chaîne de redirection en plusieurs étapes. Une fois que l’utilisateur clique sur le lien dans l’e-mail, il est redirigé à travers une série de services de redirection de confiance, ce qui renforce encore la crédibilité de l’attaque. À chaque étape, l’utilisateur est confronté à des pages qui imitent fidèlement l’apparence et le langage de Google, ce qui le pousse à divulguer ses informations personnelles sans se méfier.

Les cybercriminels ont ciblé près de 3 200 entreprises, principalement dans les secteurs de la fabrication, de la technologie et de la finance aux États-Unis. Ces secteurs sont particulièrement vulnérables car ils traitent souvent des informations sensibles et ont des employés qui doivent gérer des flux constants de communications numériques, augmentant ainsi les risques de clics accidentels sur des liens malveillants.

Pourquoi Google Cloud est une cible privilégiée

Google a longtemps été vu comme une référence en matière de sécurité dans le domaine du cloud computing. Pourtant, cette réputation en fait aussi une cible de choix. Les attaquants savent que les utilisateurs font confiance aux services de Google et que les communications provenant de ses domaines sont rarement remises en question. En exploitant cette confiance, ils peuvent infiltrer des systèmes autrement bien protégés.

La capacité des cybercriminels à envoyer des e-mails directement depuis des domaines Google sans déclencher d’alertes met en lumière une faiblesse dans la manière dont les systèmes de détection analysent l’origine des messages. Les filtres de sécurité se basent souvent sur la réputation du domaine expéditeur pour déterminer si un e-mail est légitime. Quand un domaine comme google.com est utilisé, ces filtres ont tendance à baisser la garde.

Implications pour les entreprises et les utilisateurs

Pour les entreprises, cette campagne de phishing met en lumière la nécessité de revoir et de renforcer leurs protocoles de sécurité. Il ne suffit plus de se fier aux systèmes de détection de menaces traditionnels. Les entreprises doivent éduquer leurs employés sur les nouvelles méthodes de phishing et renforcer l’authentification à deux facteurs pour toutes les connexions sensibles.

Pour les utilisateurs, la vigilance est de mise. Même si un e-mail semble provenir d’une source de confiance comme Google, il est crucial de vérifier l’authenticité des demandes d’information personnelle. Les utilisateurs doivent être formés à reconnaître les signes de phishing et à signaler immédiatement toute activité suspecte à leur service informatique.

Comment se protéger contre les abus futurs

Google a déjà commencé à mettre en place des mesures pour contrer ces abus, mais la responsabilité incombe aussi aux utilisateurs et aux entreprises de rester sur leurs gardes. Les entreprises doivent investir dans des solutions de sécurité capables de détecter les anomalies dans les comportements des utilisateurs et les flux de communication, même lorsqu’ils proviennent de domaines de confiance.

La collaboration entre les fournisseurs de services cloud, les entreprises et les experts en sécurité est essentielle pour anticiper et prévenir les futures attaques. En partageant des informations sur les nouvelles menaces et en développant des protocoles de réponse rapides, la communauté peut mieux se protéger contre l’exploitation des outils de confiance par des acteurs malveillants.