Journal L'hameçonnage facile avec google

Posté par (page perso) .
10
26
nov.
2012

Reçu aujourd'hui :

Votre compte Webmail a dépassé sa limite de stockage de 20 Go qui est tel
que défini par votre administrateur, vous êtes en cours d'exécution sur
20.9GB, vous ne pouvez pas être en mesure d'envoyer ou de recevoir de
nouveaux e-mails jusqu'à ce que vous re-valider votre boîte aux lettres.
Pour re-valider votre boîte aux lettres, s'il vous plaît remplir le
formulaire ci-dessous et soumettre à l'action. Tous les champs sont
obligatoires; https://docs.google.com/spreadsheet/viewform?formkey=dFhfS3V2ejdsR3RBZlpwMmJ5M24zUmc6MQ

Je cherche l'arnaque sur l'URL, mais non, c'est bien un lien vers google. Si on regarde de très près, on voit que c'est en fait un google docs, apparemment un formulaire au dessus d'une feuille de calcul… Malin comme usage détourné !
Heureusement que le design est un template standard et le message bourré de fautes, ça doit limiter l'impact.

  • # rapporter?

    Posté par . Évalué à 6.

    Il y a un moyen simple de rapporter ce genre de chose? Histoire qu'ils fassent le ménage rapidement quand même…

    • [^] # Re: rapporter?

      Posté par . Évalué à 3.

      oui… le lien tout en bas à gauche : signaler une utilisation abusive

      • [^] # Re: rapporter?

        Posté par (page perso) . Évalué à 2.

        Plus fourbe tu meurs. Le lien renvoie vers un autre Google Doc du même propriétaire je suppose. Un hameçonnage bien ficelé.

        Celui qui a échappé à la foudre en parle volontiers

    • [^] # Re: rapporter?

      Posté par (page perso) . Évalué à 6.

      Un lien en bas du document. Je l'ai fait.

      Le hameçonnage via GoogleDocs est une pratique suffisamment courante pour que l'option soit proposée dans les cas d'utilisations abusives.

      "La liberté est à l'homme ce que les ailes sont à l'oiseau" Jean-Pierre Rosnay

      • [^] # Re: rapporter?

        Posté par (page perso) . Évalué à 2.

        Et a priori ca a marché.
        En effet maintenant la feuille Google Spreadsheet affiche:
        "We're sorry. You can't access this item because it is in violation of our Terms of Service."

        Excusez l'absence d'accents dans mes commentaires, j'habite en Allemagne et n'ai pas de clavier francais sous la main.

  • # Où est le problème ?

    Posté par . Évalué à 1.

    Google Docs et sa fonctionnalité formulaire est justement faite pour collecter des informations, faire des sondages, etc… ceci de façon intuitive et facile d'accès.

    Je ne comprends pas vraiment où est le problème, ce n'est pas parce qu'il y a google.com dans l'URL que tu reçois dans un email obscur qu'il faut entrer son mot de passe sans réfléchir, non ?

    Le gars qui a fait ça aurait très bien pu le faire avec n'importe quel hébergeur, il aurait reçu autant de données. Personne (sauf les geeks) ne vérifient l'identité du fournisseur de la page. Le problème est au niveau de l'email de phishing qui a passé les contrôles de sécu au niveau du serveur mail ET au niveau de l'utilisateur qui donne son mot de passe sans réfléchir.

    Bref, apprenez bien à vos utilisateurs que l'on ne leur demandera JAMAIS leur mot de passe, et ce genre de phishing ne fonctionnera pas. Autrement que ce soit sur un serveur google ou dans un questionnaire Facebook ne changera pas grand chose…

    • [^] # Re: Où est le problème ?

      Posté par . Évalué à 7.

      Je t'invite à essayer d'utiliser Facebook, viadeo, linkedin (et certainement beaucoup d'autres) pour te rendre compte que demander le mot de passe du compte mail est une pratique courante…

      • [^] # Re: Où est le problème ?

        Posté par . Évalué à 1.

        Demander le mot de passe est pratique courante, j'en suis conscient. Mais je n'ai jamais vu un service te mettre un pistolet sous la tempe pour le faire.

        Non, un mot de passe doit être privé et ne servir qu'à se loguer sur le service donné. Sinon il ne faut pas s'étonner d'avoir des problèmes. C'est cela que l'on doit apprendre aux utilisateurs, de la même façon que l'on a appris à son gamin qu'il faut faire attention à son téléphone/portefeuille quand on est en public.

        D'ailleurs ça me choque quand le responsable informatique de ma boite viens me demander mon mot de passe pour faire une intervention sur mon poste. C'est pas avec un exemple donné comme ça que la sécurité de la boite va être maintenue.

        • [^] # Re: Où est le problème ?

          Posté par (page perso) . Évalué à 5.

          Bienvenue dans le monde merveilleux de l'informatique.

          Bien sûr que tu sais que donner son mot de passe c'est mal, moi aussi je le sais, et tout le monde devrait le savoir, mais malheureusement ce n'est pas le cas.

          En revanche, on ne va pas arrêter de signaler et supprimer tous les sites de hameçonnage sous prétexte que les gens devraient faire gaffe…

          • [^] # Re: Où est le problème ?

            Posté par (page perso) . Évalué à 1.

            En revanche, on ne va pas arrêter de signaler et supprimer tous les sites de hameçonnage sous prétexte que les gens devraient faire gaffe…

            Si suffisamment de personnes se font baiser ça peut être plus formateur que de signaler l'hameçonnage ou de faire de la prévention.

            • [^] # Re: Où est le problème ?

              Posté par (page perso) . Évalué à 6.

              Je confirme, pour avoir une fois dans ma vie cliqué sur un lien par mégarde, et avoir libéré sur un réseau interne un virus qui n'était pas encore connu des antivirus, j'ai appris beaucoup ce jour-là.

              C'est à dire que je n'ai pas appris à ne pas cliquer où il ne fallait pas, ca je le savais déjà, non, j'ai appris que ca pouvait arriver à n'importe qui, y compris moi.

              De cette expérience, j'en ai retenu que former et sensibiliser toute la population n'empêchera pas les accidents de se produire, et j'ai arrêté de gueuler sur les gens qui cliquent n'importe où sans réfléchir "Non mais t'as vu ? Quelle bande de cons sans déconner ! On devrait leur retirer l'usage d'un ordinateur à ces idiots !". Il faut former les gens, et agir pour signaler un lien foireux dès qu'on en voit un.

        • [^] # Re: Où est le problème ?

          Posté par . Évalué à 2.

          D'ailleurs ça me choque quand le responsable informatique de ma boite viens me demander mon mot de passe pour faire une intervention sur mon poste. C'est pas avec un exemple donné comme ça que la sécurité de la boite va être maintenue.

          Pour avoir effectué du support en entreprise je t'avoue que c'est le plus pratique. D'une part souvent le service informatique a déjà accès à tes documents sans avoir besoin du mot de passe. C'est une question de déontologie de ne pas user de ce pouvoir. D'autre part il y a une solution très simple pour ça. Demander à l'utilisateur de changer le mot de passe qu'il vient de te donner juste après l'intervention.

          Bref, quelques soient les solutions techniques mises en œuvre pour la sécurité il reste toujours une part de confiance à accorder à d'autres. Par exemple je pense que pas mal de techniciens chez mon fournisseur de services sont capables de consulter ma boîte mail ou accéder à mon FTP sans connaître mes mots de passe. Il faut en avoir conscience et éventuellement utiliser un cryptage chiffrement fort comme AES-256 sur chaque fichier si la discrétion est vraiment nécessaire.

          • [^] # Re: Où est le problème ?

            Posté par . Évalué à 6.

            Il y a quand même une différence entre avoir accès aux documents internes d'un employé, et avoir accès à son mot de passe. Le mot de passe peut potentiellement être le même sur d'autres sites. De toute façon, un administrateur devrait pouvoir changer le mot de passe d'un utilisateur, donc ne devrait pas avoir à demander.

            Et puis, si on trouve normal de donner un mot de passe à un administrateur, tant qu'à faire, pourquoi ne pas trouver normal de le donner par mail quand on reçoit une demande de son FAI ? (qui sera cette fois un phishing à coup sûr)

            • [^] # Re: Où est le problème ?

              Posté par (page perso) . Évalué à 4.

              Il reste la possibilité à l'utilisateur de changer son e-mail, par un truc spécial pour l'admin, laisser l'admin faire ses tests (parce que je ne vois pas d'autres prétextes), et une fois que c'est fini, l'utilisateur rechange de nouveau son mot de passe.

              Lorsque je créé des comptes pour certains services, généralement je test le fonctionnement avant de livrer le service, et j'invite l'utilisateur à changer le mot de passe que j'ai défini.

              Globalement il y a un problème d'éducation. Il ne faut évidement jamais fournir son mot de passe.

              Parfois il arrive que la personne croit être sur le site "officiel", mais la confusion est bien entretenue par les gros sites qui ont des authentifications dans de multiples endroits, et créés des redirections de pages un peu partout, par exemple hotmail.

              La faute, ce n'est pas que par l'utilisateur. (et ça peut effectivement arriver à tout le monde)

              • [^] # Re: Où est le problème ?

                Posté par . Évalué à 3.

                Il reste la possibilité à l'utilisateur de changer son e-mail, par un truc spécial pour l'admin, laisser l'admin faire ses tests (parce que je ne vois pas d'autres prétextes), et une fois que c'est fini, l'utilisateur rechange de nouveau son mot de passe.

                C'est une possibilité oui, mais dans ce cas il faut bien demander à l'utilisateur de le faire (beaucoup n'y penseront pas et donneront leur mot de passe sans réfléchir).

      • [^] # Re: Où est le problème ?

        Posté par (page perso) . Évalué à 2.

        Note que sur Google, tu peux créer des mots de passe que tu peux révoquer. Justement pour ne pas devoir donner ton vrai mot de passe, mais juste des "laisser passer".
        Pour cela, il faut aller sur son compte -> sécurité -> "Autorisation des applications et des sites" et alors dans le bas "Générer un mot de passe".
        Tu utilises ça dans Facebook, etc. Et pas de soucis.

        (ps. je n'ai pas essayé en fait, mais je suppose que ça fonctionne)

        • [^] # Re: Où est le problème ?

          Posté par (page perso) . Évalué à 5.

          Pourquoi donner son mot de passe google à facebook ?

          • [^] # Re: Où est le problème ?

            Posté par . Évalué à 2.

            Facebook utilise ça pour récupérer la liste de contact et rechercher ses amis. Pas mal d'autres services font de même, même si franchement, ça ne donne pas confiance.

        • [^] # Re: Où est le problème ?

          Posté par . Évalué à 3.

          Ouch, c'est le mot de passe "root" de ton compte google. Le seul cas où c'est utile c'est pour les applis lourdes qui supportent pas oauth2, le rendre public ailleurs est une très très mauvaise idée (c'est comme si tu partageais ton mdp principal).

      • [^] # Re: Où est le problème ?

        Posté par . Évalué à 1.

        Je ne sais pas pour viadeo et linkedin mais Facebook ne te demandera jamais ton mot de passe (à part pour te logger).

        • [^] # Re: Où est le problème ?

          Posté par (page perso) . Évalué à 4.

          Tous les fournisseurs de services de réseaux sociaux te demandent à un moment ou un autre de leur donner les login/pass de tes comptes mails, histoire d'enrichir la base des contacts… (et spammer tes contacts aussi).

          Heureusement, tu n'es pas obligé de le faire, mais vu comment c'est présenté, ça semble être obligatoire.

          • [^] # Re: Où est le problème ?

            Posté par . Évalué à -8. Dernière modification le 26/11/12 à 22:19.

            Tous les fournisseurs de services de réseaux sociaux te demandent à un moment ou un autre de leur donner les login/pass de tes comptes mails, histoire d'enrichir la base des contacts…

            Non mais t'as fumé quoi ? Tu te fournis chez le même dealer que Samwang ?

            Jamais un service sérieux (oui Facebook c'est un site sérieux, à plusieurs dizaine de milliard d'euro de valeur boursière c'est sérieux…) te demandera ton identifiant/mot de passe. Ni Google, ni Yahoo, ni aucun autre site de ce genre. Pour le site du club de foot local de Pataouchnok je dis pas (m'enfin ça n'existe plus trop, maintenant ça passe par Facebook). Si on t'a demandé tes identifiants c'était clairement une tentative de phishing.

            Si tu parles des sites qui te demandent de d'identifier avec ton compte Facebook ils ne te demandent pas tes identifiants, ils utilisent l'API fournie par Facebook, ton mot de passe tu l'envoies seulement chez Facebook (qui ne stock qu'une somme de contrôle (un hash) de ce mot de passe), pas directement au site concerné.

            • [^] # Re: Où est le problème ?

              Posté par . Évalué à 4.

              Jamais un service sérieux (oui Facebook c'est un site sérieux, à plusieurs dizaine de milliard d'euro de valeur boursière c'est sérieux…) te demandera ton identifiant/mot de passe. Ni Google, ni Yahoo, ni aucun autre site de ce genre.

              Pour Facebook, je ne sais pas, je n'utilise pas.
              Par contre, Google me propose de collecter les emails de mes autres comptes, il suffit que je fournisse l'identifiant et le mot de passe pour qu'il les relève en POP. De même, je peux lui fournir les identifiants et mot de passe de comptes Yahoo, Hotmail,… pour qu'il récupère mon carnet d'adresses. Pourtant Google est "à plusieurs dizaine de milliard d'euro de valeur boursière".

              LinkedIn me propose aussi d'importer mon carnet d'adresses Google, Yahoo,… en fournissant mon identifiant et mon mot de passe. LinkedIn est valorisé à plus de 10 milliards de dollars.

              Si on t'a demandé tes identifiants c'était clairement une tentative de phishing.

              D'après toi, dois-je conclure que Google et LinkedIn font du phishing ?

              • [^] # Re: Où est le problème ?

                Posté par . Évalué à 1.

                OK je vois.

                D'après toi, dois-je conclure que Google et LinkedIn font du phishing ?

                Probablement pas. Mais ce genre de truc est à éviter c'est clair, autant conserver une certaine segmentation.

                • [^] # Re: Où est le problème ?

                  Posté par (page perso) . Évalué à 5. Dernière modification le 27/11/12 à 00:22.

                  Probablement pas.

                  En vérité t'en sais rien. Et presque personne ne sait. Mais comme tu disais un peu plus haut, c'est un problème de confiance. As-tu confiance en ces entreprises ? En général ? Sur ce sujet précis ?
                  La réaction de la plupart des gens c'est « Bah c'est un truc connu, ils doivent pas faire des trucs illégaux ni douteux ». Mouais, ça reste une supposition. On n'en sait rien, et on suppose que tout va bien tant qu'on n'a pas la preuve du contraire.

                  Moi je suis ptre un peu parano mais je donne jamais mes identifiants de courriel ou de messagerie instantané à un site, qu'il soit connu ou non. Mais bon, si ça se trouve, c'est une précaution inutile…ou pas. On sait simplement pas.

            • [^] # Re: Où est le problème ?

              Posté par (page perso) . Évalué à 8.

              Bonsoir Marotte,

              il y a deux ou trois semaines, j'ai créé des comptes sur Facebook, Linkedin, Viadeo, et Google.

              Tous m'ont demandés à un moment de fournir les identifiants des autres comptes pour y trouver des contacts.

              MSN fait pareil.

            • [^] # Re: Où est le problème ?

              Posté par (page perso) . Évalué à 3. Dernière modification le 27/11/12 à 09:06.

              Jamais un service sérieux (oui Facebook c'est un site sérieux, à plusieurs dizaine de milliard d'euro de valeur boursière c'est sérieux…) te demandera ton identifiant/mot de passe.

              Euh… Stop. Revient en 2012 s'il te plait.
              En 2012, les gens veulent du connecté. Quand tu vas sur Facebook, il te propose de filer ton pass Google mail si par hasard tu t'es inscrit chez eux avec une adresse Google, pour te faciliter la vie, c'est à dire écrire à tes contacts, trouver tes amis, automatiquement. C'est même le but des réseaux sociaux. Bref, les gens sont très contents de ça : ça les fait chier de faire un export de leurs contacts pour ensuite les importer dans Facebook, personne n'a envie de s’embêter (et cherche pas : non, facebook ne permet pas d'importer, à mon avis bien plus parce que pas foule l'utiliserait que par envie de récupérer le mot de passe Google). Pareil pour n'importe quel webmail qui fera la migration tout seul.

              Par contre, ça n'a rien d'obligatoire et ce n'est pas affiché comme tel.

              PS : ça ne veut pas dire que j'adhère, hein, je ne fait qu'expliquer le comportement des gens. Pour moi, c'est inacceptable qu'un autre connaisse mon pass, Google y répond pas mal avec un pass par "appli". Mais on ne doit pas être très nombreux à avoir ce "blocage"… Suffisamment pour Google, mais pour personne d'autre.

            • [^] # Re: Où est le problème ?

              Posté par . Évalué à 3. Dernière modification le 27/11/12 à 11:07.

              Je crois qu'il y a confusion. Facebook ne demande pas ton mot de passe Facebook sur un formulaire autre que le login, mais il demande tes identifiants mail, Skype, etc… afin de retrouver tes amis dans tes contacts. Il ne les stocke pas, à priori.

              http://img526.imageshack.us/img526/1127/facebooksw.png

            • [^] # Re: Où est le problème ?

              Posté par . Évalué à 3.

              Tu prends tes désirs pour une réalité Marotte. Malheureusement c'est bien comme ça que ça fonctionne… La démocratisation d'OAuth va petit à petit régler la chose, mais c'est encore très fréquent qu'un service social demande un mot de passe de messagerie gmail/hotmail pour aller y récupérer tes contacts et ajouter tes amis.

              C'est facultatif, mais au vu du nombre de mails que je reçois d'amis qui m'incitent à m'inscrire sur un réseau avec un message prédéfini, je sais clairement que ça marche.

              • [^] # Re: Où est le problème ?

                Posté par . Évalué à 2.

                Oui tu as raison. C'est que j'utilise peu les réseaux sociaux mais je me souviens qu'effectivement Google m'a proposé de donner mon mot de passe Yahoo! (Ce que je n'ai pas fait)

    • [^] # Re: Où est le problème ?

      Posté par . Évalué à 9.

      Bref, apprenez bien à vos utilisateurs

      Mme Michu, c'est du ressors de quel admin?
      Plus sérieusement, tu parles de tes utilisateurs. Tu te rends compte du nombre d'utilisateurs qui ne sont les utilisateurs de personne en particulier?

      Conclusion:
      Je vais créer une app pour ça, il faudra rentrer son mot de passe sur mon site qui vous dira si le site suspect est vraiment malveillant.

      ----------->[ ]

    • [^] # Re: Où est le problème ?

      Posté par (page perso) . Évalué à 3.

      apprenez bien à vos utilisateurs

      Ahahah, trops gros ça prendra pas…

      Tiens au taf, on vient de se prendre une campagne de phishing et je suis sûr qu'on va encore avoir des gens qui sont tombés dedans.

      (et on ne demande jamais les mots de passes)

      Tant que je suis là, est-ce qu'il y a des gens qui ont développé des scripts pour supprimer (plutôt mettre dans un dossier quarantaine) les mails de phishing après coup ? Le problème c'est que même si on met des filtres en place assez vite, on a toujours un bon milier de personnes qui ont déjà eu le mail. L'idée serait de partir des logs postfix, parce que c'est difficile de grepper un spool de 2 To.

      les pixels au peuple !

    • [^] # Re: Où est le problème ?

      Posté par . Évalué à 4.

      Je ne comprends pas vraiment où est le problème, ce n'est pas parce qu'il y a google.com dans l'URL que tu reçois dans un email obscur qu'il faut entrer son mot de passe sans réfléchir, non ?

      Le problème, c'est que ça fait des années qu'on explique aux Mmes Michus que pour se prévenir du hameçonnage, il faut, avant de rentrer un mot de passe :
      _ vérifier que l'URL est bien celle du site,
      _ vérifier que le navigateur affiche bien le petit cadenas (ou autre) et pas de warnings
      _ vérifier qu'il y a marqué "https" devant

      Et maintenant, il va falloir leur expliquer que doc.google.com n'est pas www.google.com, et que dans ce cas là le petit cadenas n'est pas une garantie suffisante. Ça va être coton.

      • [^] # Re: Où est le problème ?

        Posté par . Évalué à 0.

        dans le même genre: utiliser un petit cadenas comme favicon :/
        + début du nom de domaine avec le nom du site
        genre paypal.secure.pl

        le meilleur conseil c'est d'aller sur le site depuis le navigateur, ne pas cliquer sur un lien dans un mail.

        Idem, je me moquais des gens qui tapaient "LCL" ou "caisse epargne" dans google, or c'est peut etre plus sécurisé que de taper par erreur le mauvais non et risquer de tomber sur un site de fishing (plus difficile sur un .fr probablement) alors que la recherche google vas orienté vers le bon site

  • # Mon popa c'est fait avoir !

    Posté par . Évalué à 5.

    Depuis il est coincer au Ghana et il me demande tout le temps de l'argent :/

    Plus sérieusement, je lui disait souvent de vérifier de bien être en https sur le bon site avant de se connecter. Ce qui évidemment ne marche pas dans ce cas la.

    • [^] # Re: Mon popa c'est fait avoir !

      Posté par . Évalué à 7.

      C'est compliqué ça, moi aussi j'essaye d'éduquer mes parents : le phishing, les chaînes…
      Sauf que les règles "cadenas + nom de domaine correct" ont parfois des exceptions, la preuve.

      Internet ou le web devient de plus en plus hostile pour la masse. Les règles basiques de sécurité ne s'appliquent pas toujours, ont des exceptions, ou ne sont juste pas respectées. Tout les non avertis finiront par se faire avoir un jour à ce train là…

      Et à moins de donner des cours sur les DNS, sur internet, les MITM, HTTP, etc… quelqu'un qui ne comprend pas de bout en bout comment ça marche est exposé à ces arnaques…

  • # Les fautes ne vont pas limiter tant que ça la diffusion du phishing

    Posté par . Évalué à 10.

    Heureusement que le design est un template standard et le message bourré de fautes, ça doit limiter l'impact

    Koi qelle faute tu parle? Ia pa de faute ici ca doi etre un messaje oficiel de google je vé renplir le fomurlaire

    PS sa se sauré si y avé dé faute jaurait vu toutsuitte chui pas kon lol

    • [^] # Re: Les fautes ne vont pas limiter tant que ça la diffusion du phishing

      Posté par . Évalué à 3.

      J'allais faire la même réflexion, quand on voit le niveau de certains.

      Votre compte Webmail a dépassé sa limite de stockage de 20 Go qui est tel
      que défin**i** par votre administrateur, vous êtes en cours d'exécution sur
      20.9GB, vous ne pouvez pas être en mesure d'envoyer ou de recevoir de
      nouveaux e-mails jusqu'à ce que vous re-valider votre boîte aux lettres.
      Pour re-valider votre boîte aux lettres, s'il vous plaît remplir le
      formulaire
      ci-dessous et soumettre à l'action. Tous les champs sont
      obligatoires

      Faut avouer qu'il n'y a pas tant de fautes que ça par rapport aux tentatives de phishing habituelles :)

      Et sinon je confirme, l'utilisation de Google Docs pour le phishing ça fait longtemps que ça existe.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.