Attaque de phishing sur Gmail : comment elle nous dupe et nos conseils pour se protéger

 
Il est temps de changer vos mots de passe, encore une fois. Si vous êtes un utilisateur de Gmail, un nouveau système de phishing peut potentiellement utiliser votre liste de contacts pour duper vos amis, famille et collègues de travail.

Comment fonctionne l’attaque ?

Cela paraît compliqué aux premiers abords, mais l’attaque sophistiquée est en réalité très simple. Commençons par le début. Tout comme n’importe quelle attaque de phishing, vous recevrez un e-mail dans votre boîte de réception, qui provient d’un de vos contacts – il aura des détails que d’autres e-mails d’hameçonnage n’ont certainement pas. Il aura surtout une pièce jointe. La manœuvre frauduleuse mise sur sa prétendue pièce jointe.

https://twitter.com/tomscott/status/812265182646927361

En cliquant sur ce fichier, vous cliquez en réalité sur une capture d’écran avec un lien, un lien qui vous renverra sur une nouvelle page qui vous invitera à vous reconnecter à votre compte Gmail. L’URL affichée dans la barre d’adresse semble plutôt inoffensive, il y a écrit « data:text » suivi de l’adresse « https://accounts.google.com ». Mais en tapant vos accès ici, vous tombez dans le piège. Un e-mail sera envoyé à toute votre liste de contacts, et vos accès seront partagés. Cette attaque de phishing fonctionne depuis plus d’un an, mais elle a été particulièrement efficace ces derniers temps. Les données recueillies sont ensuite revendues, bien évidemment. 

Comment se protéger de cette attaque ?

Heureusement, il y a des protections infaillibles que vous pouvez utiliser. Tout d’abord, ce qu’il faut faire régulièrement, changez votre mot de passe, et utilisez la vérification en deux étapes. Cela peut être vraiment contraignant, mais vous serez bien content de l’avoir activé en cas de tromperie de ce type.

Pour aller plus loin
Tuto : Comment activer la validation en deux étapes sur son compte Google ?

Maintenant, il serait un bon temps de commencer à utiliser un gestionnaire de mots de passe. Voici notre sélection.

Ensuite, restez attentifs. Dans ce cas précis, la partie au début de l’URL est sûre « https://accounts.google.com » mais si vous lisez ce passage « data: text / html » avant que la partie HTTP de l’URL, n’entrez pas vos informations d’identification. Fermez le site, videz votre cache, signalez l’e-mail, et changez votre mot de passe (juste au cas où). 

Vous pouvez également vérifier les apps et services connectés à votre compte, cela permet de vérifier les irrégularités.

Comptes et services connectés

Enfin, consultez notre guide de conseils à suivre pour sécuriser vos données et votre smartphone.

Pour aller plus loin
9 règles à suivre pour sécuriser son smartphone Android (et son iPhone)