Les acteurs de la cybermenace ont trouvé un moyen d'exploiter l'outil de visualisation de données Looker Studio de Google pour mener des attaques de phishing. Des chercheurs de Check Point ont découvert une campagne BEC (Business Email Compromise) qui utilise Looker Studio pour créer des pages sur le thème des crypto-monnaies afin d'inciter les utilisateurs à fournir leurs informations d'identification. Les attaquants envoient des e-mails qui semblent provenir de Google, contenant des liens vers de faux rapports sur les investissements en crypto-monnaie. Si les utilisateurs cliquent sur le lien, ils sont dirigés vers une page Google Looker hébergeant un diaporama qui les invite à se connecter à leur compte pour réclamer plus de Bitcoin. Cependant, cette page de connexion est conçue pour voler leurs informations d'identification.

Les chercheurs de Check Point ont observé plus d'une centaine d'attaques utilisant cette méthode et ont informé Google de la campagne. Les attaquants sont capables de contourner les analyses de sécurité des e-mails en tirant parti de l'autorité de Google et en utilisant diverses techniques. Par exemple, ils manipulent l'adresse IP de l'expéditeur pour tromper les contrôles SPF (Sender Policy Framework) et réussir les contrôles d'authentification DKIM en vérifiant le domaine légitime de l'e-mail. De plus, l'association des e-mails avec le domaine google.com leur permet de passer les contrôles par Domain-based Message Authentication, Reporting and Conformance (DMARC).

Les experts ont critiqué SPF, DKIM et DMARC pour leur sensibilité aux vecteurs d'attaque de courrier électronique sophistiqués, car ils ne peuvent protéger que contre les menaces pour lesquelles ils ont été conçus. Pour se défendre contre de telles attaques BEC, il est conseillé aux organisations d'adopter une technologie de sécurité basée sur l'IA, capable d'identifier de manière proactive les indicateurs de phishing. De plus, une solution de sécurité complète avec des capacités d'analyse de documents et de fichiers doit être mise en œuvre, ainsi qu'un système de protection d'URL robuste qui effectue des analyses approfondies et émule les pages Web pour une sécurité renforcée.

Sources:

– Check Point (chercheurs de Check Point)

– SPF (cadre de politique de l'expéditeur)

– DKIM (courrier identifié par DomainKeys)

– DMARC (authentification, reporting et conformité des messages basés sur le domaine)