Gmail : nouvelle arnaque au phishing, comment éviter de se faire avoir ?

Les utilisateurs Gmail sont actuellement victimes d'une nouvelle arnaque qui utilise un procédé aussi répandu qu'efficace : le phishing. Contrairement aux idées reçues, personne n'est vraiment à l'abri. Il faut dire que cette nouvelle arnaque est tellement bien fichue et pour cause puisque l'email frauduleux que vous êtes susceptibles de recevoir provient directement d'un de vos contacts.

Comme de nombreux emails frauduleux, celui-ci contient une pièce jointe, enfin en apparence, car en réalité, en vous faisant cliquer sur ce fichier, le but est de vous faire cliquer sur une image contenant un lien hypertexte qui va ensuite vous renvoyer vers une page web sur laquelle on vous demandera alors de saisir vos identifiants Google pour vous connecter.

Notez que l'url de la page en question n'est pas soupçonnable puisque dans la barre d'adresse apparaît la mention « data:text » suivie de « https://accounts.google.com ». Ce faux formulaire va ensuite ouvrir un script. Une fois que les hackers ont récupéré vos identifiants, ils se connectent alors à votre compte pour ensuite puiser de nouvelles victimes au sein de vos contacts et bien sûr, un élément de votre compte qui servira ensuite de pièce jointe.

Ils pourront, par exemple, utiliser un élément de votre calendrier ou tout autre document pouvant donner l'illusion que l'email provient réellement de vous et le tour est joué !

Quand on y pense, l'astuce visant à vous faire cliquer est simple comme bonjour et c'est justement dans cette simplicité qu'elle puise sa force. Bon nombre d'utilisateurs ne se monteront pas soupçonneux vis à vis de cet email fiable en apparence et qui provient d'un de leurs contacts et c'est justement de cette façon qu'il se feront avoir.

This is the closest I've ever come to falling for a Gmail phishing attack. If it hadn't been for my high-DPI screen making the image fuzzy… pic.twitter.com/MizEWYksBh

— Tom Scott (@tomscott) 23 décembre 2016

Notez que cette arnaque par phishing n'est pas récente. Elle a beaucoup sévi l'an dernier et continue de faire des ravages. De son côté, Google se montre rassurant et déclare lutter contre le phishing à l'aide du machine learning mais si vous souhaitez vraiment évitez de vous faire avoir, il y a tout de même trois règles à suivre :

• Analyser scrupuleusement chaque email que vous recevez
• Penser à changer régulièrement de mot de passe (La plupart des internautes ne changent leurs mots de passe que très rarement)
• Activer la vérification Google en deux étapes

https://www.phonandroid.com/gmail-nos-10-trucs-astuces-mieux-utiliser-boite-mail-android.html