« 2,5 milliards de comptes Gmail violés»C’est un titre parfait pour pousser n’importe quel internet pour cliquer sur un article. Il se peut qu’en tremblant sur les réseaux sociaux ou en surfant en ligne, vous avez rencontré divers articles qui avaient une « titone » similaire en nourrissant l’idée d’un attaque maxi au détriment des utilisateurs de Gmail dans le monde. Si vous avez rencontré des titres de ce type, vous vous êtes probablement demandé si vos messages se sont retrouvés entre les mains des cybercriminels. La réponse courte est non: Il n’y a pas de test d’une déficience direct Comptes Gmail ou un vol massif d’e-mails et de mots de passe de l’utilisateur de Gmail. La réalité est différente et concerne une affaire limitée qui implique un Attaque « Vishing » contre un fournisseur Googlepas aux serveurs qui gardent e -mail.
Google elle-même a publié un rapport officiel expliquant précisément les détails techniques et réduisant l’alarme. Mais cela ne signifie pas que nous pouvons abaisser notre garde et dormir paisiblement: un groupe criminel – marqué par l’abréviation UNC6040 – Cependant, il a réussi à soustraire (grâce à une attaque de l’ingénierie sociale) des données de l’entreprise, qui peuvent devenir un matériel utile pour toutes les campagnes de Vishing, une sorte de phishing perpétré par des appels téléphoniques frauduleux.
Mais nous réitérons. Dites que 2,5 milliards de compte Gmail sont menacés ce n’est pas correct: Juste pour commencer, au moment de la rédaction de cet article selon de nombreuses estimations de Gmail, il est important 1,8 milliard d’utilisateurs actifs. Et aussi dans le cas où les criminels informatiques ont tenté de faire glisser chaque utilisateur de Gmail par un appel téléphonique d’une minute, ils devraient avoir plus de 3 400 ans pour essayer de frauder tout le monde Les utilisateurs en possession d’un compte! Il est clair que les comptes ne reviennent pas.
Les proportions réelles de l’attaque informatique
Voyons de plus près ce qui s’est passé et ce qu’ils sont les proportions réelles de l’attaque. Tout a commencé lorsque le groupe criminel connu sous le nom UNC6040 Il a convaincu un employé de Google Partner par téléphone pour autoriser une application Oaouth apparemment légitime dans Salesforce, la plate-forme CRM (Gestion de la relation client) Un outil utilisé par « Big G » pour gérer divers clients commerciaux et interactions. L’attaque a donc été perpétrée avec la technique de Écuriefusion de mots voix Et phishing. Contrairement au phishing classique, qui est consommé par un e-mail trompeur, le Vishing utilise un appel téléphonique réel. Une voix apparemment faisant autorité – par exemple un faux technicien de soutien technique – induit la victime à effectuer des actions qui semblent triviales mais qui ouvrent en fait la porte aux attaquants. Ce n’est donc pas une question de virus ou de défauts de sécurité dans le logiciel, mais de manipulation psychologique pure.
L’autorisation accordée par l’employé victime de l’attaque a donné aux criminels qui ont perpétré l’attaque la possibilité de accéder aux données contenues dans les environnements Salesforce, En tant que contacts d’entreprise, journaux d’interactions et autres informations confidentielles. D’un autre côté, les serveurs Gmail ou les messages ou les références volés n’ont pas été violés. Le groupe UNC6040 se spécialise précisément dans ce type de schéma: fait semblant d’appartenir au service informatique, conduit la victime étape par étape et autorise les applications connectées déguisées par des outils officiels. Une fois que vous avez accès, le flux de données volées peut devenir la base du chantage ultérieur. Et c’est là qu’un autre nom bien connu entre en jeu: Chulleurs. Certains e-mails d’extorsion envoyés aux victimes ont signalé cette signature et selon Google, ce sont une entité distincte (appelée UNC6240), activée dans la phase de monétisation, c’est-à-dire dans la demande de rédemption réelle. Ce régime à deux niveaux (avec un acteur qui traite de l’intrusion et une autre pression économique en nécessitant un paiement de Bitcoin en un total d’heures) est désormais de plus en plus répandu.
La bonne nouvelle est donc que Aucun compte Gmail n’est compromis directement. Le mauvais est que les données recueillies dans Salesforce peuvent cependant être exploitées pour des campagnes frauduleuses extrêmement crédibles. Nous pensons, par exemple, d’un e-mail qui semble provenir d’un de votre collègue ou d’un appel qui semble provenir du service client d’une entreprise, mais qui est en fait un appât bien construit grâce à ces informations soustraites. Garder son seuil d’attention élevé reste un aspect crucial de la sécurité informatique pour un individu et, surtout, au niveau de l’entreprise.
Comment se défendre contre toute tentative de vihmées
Pour se défendre contre toute attaque de Vishing et autres Qui pourrait provenir des données soustraites des environnements Salesforce par le collectif criminel que nous vous avons parlé ci-dessus, nous devons suivre au moins les contre-mesures « de base » suivantes:
- Utilisez des mots de passe robustes et uniques.
- Activez l’authentification à deux facteurs (peut-être avec la génération de codes sur des applications d’authentification spéciales plutôt qu’avec l’envoi classique d’OTP via SMS, qui sont beaucoup moins sûrs).
- Activez lakekey dans la mesure du possible.
- Ne partagez jamais d’informations via des appels avec une origine douteuse, en se rappelant que Google (ainsi que tout autre organisme officiel) ne contacte pas ses utilisateurs par des moyens similaires pour signaler les problèmes de sécurité.