Avec sa popularité croissante et son rôle central dans la gestion des tâches quotidiennes, Google Calendar est devenu une cible de choix des cybercriminels. Récemment, les experts en cybersécurité de Check Point ont révélé une nouvelle méthode d’exploitation où des acteurs malveillants détournent des outils Google tels que Google Calendar et Google Drawings. Ces derniers manipulent le contenu de certains e-mails qui paraissent légitimes car ils sont directement générés par Google Calendar.

Les cybercriminels modifient les en-têtes « expéditeur », donnant l’impression que les e-mails ont été envoyés via Google Calendar au nom d’une personne connue et autorisée. Cette campagne malveillante a déjà ciblé près de 300 marques avec 2 300 e-mails de phishing détectés par les chercheurs en cybersécurité en l’espace de seulement deux semaines.

Synthèse de la menace

Comme évoqué précédemment, ces attaques de phishing exploitent les fonctionnalités de Google Calendar, en intégrant des liens qui redirigent les utilisateurs vers des formulaires Google Forms malveillants.

Cependant, face à la meilleure détection des invitations malveillantes de Google Calendar par les solutions de sécurité, les cybercriminels ont ajusté leur stratégie en exploitant les fonctionnalités de Google Drawings pour poursuivre leurs attaques.

Motivations des cybercriminels

L’objectif de ces attaques est de manipuler les utilisateurs pour qu’ils cliquent sur des liens ou téléchargent des pièces jointes malveillantes. De cette façon, les cybercriminels peuvent ensuite voler des données sensibles, personnelles ou professionnelles.

Ces informations, divulguées de façon totalement involontaire, sont rapidement exploitées par les cybercriminels. Elles leur permettent de réaliser des fraudes à la carte bancaire, des transactions non autorisées et d’autres activités illicites du même type. De plus, ces données peuvent être utilisées pour contourner les mesures de sécurité d’autres comptes et exposer ainsi la victime à davantage de risques et à des conséquences encore plus graves.

Pour les entreprises comme pour les particuliers, ce type de cyberattaques peut générer un stress important et avoir des répercussions durables, tant sur le plan financier que psychologique.

Techniques d’exécution des attaques

Comme mentionné plus haut, les e-mails initiaux contiennent souvent un lien ou un fichier d’agenda (.ics) renvoyant vers des Google Forms ou Google Drawings.

Les utilisateurs sont ensuite incités à cliquer sur un autre lien, généralement déguisé en faux reCAPTCHA ou en faux boutons d’assistance.

Après avoir cliqué sur le lien, ils sont redirigés vers une page qui ressemble à une plateforme d’exploitation de crypto-monnaies ou une page d’assistance liée au bitcoin.

Mais dans les faits, ces pages sont conçues pour orchestrer des escroqueries financières. Une fois sur la page, les utilisateurs sont incités à suivre un faux processus d’authentification, à divulguer des informations personnelles, et à fournir leurs coordonnées bancaires ou des détails de paiement.

La campagne de phishing décrite ci-après débute par un e-mail envoyé via Google Calendar. La majorité de ces e-mails imitent avec précision le format des notifications officielles de l’agenda, tandis que certains adoptent un format personnalisé, conçu pour mieux tromper les destinataires :

Si les invitations proviennent de contacts connus, l’utilisateur est plus susceptible de tomber dans le piège, d’autant plus que le reste de l’interface semble parfaitement normal et crédible.

Bloquer cette attaque

Les entreprises qui souhaitent protéger leurs utilisateurs contre ce type d’attaques et d’autres menaces similaires devraient prendre en considération les recommandations suivantes :

Solutions avancées de sécurité des e-mails. Les solutions telles que Harmony Email & Collaboration par exemple, offrent une protection efficace contre les tentatives de phishing, même lorsqu’elles exploitent des plateformes populaires comme Google Calendar ou Google Drawings. Ces outils intègrent des fonctionnalités sophistiquées, notamment l’analyse approfondie des pièces jointes, la vérification de la réputation des URL et la détection des anomalies à l’aide de l’intelligence artificielle.

Surveiller attentivement l’utilisation des applications tierces liées à Google. Privilégier des outils de cybersécurité capables de détecter les activités suspectes sur ces applications et d’alerter votre entreprise en temps réel.
Créer des mécanismes d’authentification solides. Pour renforcer la sécurité, l’une des mesures clés consiste à déployer l’authentification multifactorielle (MFA) sur tous les comptes professionnels. Cette approche permet de garantir un niveau de sécurité plus élevé en rendant plus difficile l’accès non autorisé, même dans le cas où les identifiants auraient été compromis.

Par ailleurs, il est essentiel de déployer des outils d’analyse comportementale capables d’identifier des tentatives de connexion inhabituelles ou des activités suspectes, telles que la navigation vers des sites liés aux crypto-monnaies.

Pour les particuliers soucieux de protéger leur boîte de réception personnelle contre ces scams, voici quelques recommandations pratiques à suivre.

Méfiez-vous des fausses invitations : si une invitation contient des informations inhabituelles ou vous demande de suivre des étapes particulières auxquelles vous n’êtes pas habitué comme remplir un CAPTCHA, n’y répondez pas.

Analysez soigneusement le contenu des messages reçus : prenez le temps de réfléchir avant de cliquer sur un lien. Pour vérifier l’URL, passez la souris dessus et vérifiez sa destination. Si possible, entrez l’URL directement dans votre navigateur ou recherchez-la sur Google pour accéder au site en toute sécurité.

Activez l’authentification à deux facteurs (2FA) : pour les comptes Google et tout autre référentiel d’informations sensibles, cette mesure ajoute une couche de sécurité supplémentaire. Même en cas de compromission des identifiants, la 2FA peut empêcher les cybercriminels d’accéder au compte concerné.

Interrogé sur ces attaques, Google déclare : « Nous conseillons aux utilisateurs d’activer le paramètre expéditeurs connus dans Google Calendar. Cette option protège les utilisateurs contre ce type de phishing et signale toute invitation provenant d’une personne qui ne figure pas dans leur liste de contacts ou avec laquelle ils n’ont jamais échangé d’e-mails auparavant. »