- Un cas où un hacker a tenté une attaque de phishing sophistiquée en abusant d’un sous-domaine (
important.g.co) du domaine URL court officiel de Google, g.co
- L’identifiant d’appel affichait « Google » et le numéro affiché était aussi le (650) 203-0000, donnant l’impression d’un appel réel de Google
- La qualité de l’appel et la maîtrise de la langue paraissaient naturelles, à un niveau qui rendait difficile de soupçonner un phishing
Aperçu du contenu de l’appel
- L’appelant se présentait comme un employé de « Google Workspace » et expliquait la situation en demandant si l’utilisateur avait récemment tenté une connexion depuis une IP située à Francfort
- Lorsque l’utilisateur, méfiant, a demandé : « Veuillez me le confirmer par un e-mail officiel de Google », un message a été envoyé depuis l’adresse
important.g.co
- Comme il s’agissait d’un sous-domaine de g.co, connu comme étant exploité par Google, tout était fait pour inspirer confiance
- Ensuite, sous prétexte de réinitialiser la session de l’appareil, l’appelant a fait envoyer à l’utilisateur un code d’authentification à deux facteurs (2FA) et l’a poussé à valider ce code
- En validant le code, le hacker pouvait obtenir l’accès au compte Google de l’utilisateur
Analyse de l’e-mail et du domaine
- g.co lui-même est le domaine officiel d’URL raccourcies de Google
- Cependant, on suppose l’existence d’une faille permettant de créer librement des sous-domaines comme
important.g.co
- Il semble que le processus de vérification de domaine de Google Workspace ait été détourné pour obtenir un sous-domaine de g.co sans validation
- Les contrôles DKIM/SPF de l’e-mail envoyé passaient également normalement, si bien qu’il apparaissait comme un vrai message envoyé par Google
Points clés du déroulement de l’attaque
- Usurpation d’appel : le Caller ID a été manipulé pour afficher « Google »
- Ressemblance avec des canaux de contact officiels : en mentionnant un numéro Google connu et en montrant une vraie page de support Google, l’attaquant a gagné en crédibilité
- Assistance vocale sophistiquée : la langue, l’attitude et le déroulé de l’appelant étaient mis en scène de façon très convaincante, comme ceux d’un véritable ingénieur
- E-mail depuis un sous-domaine g.co : un e-mail a été envoyé à l’utilisateur avec l’explication qu’il s’agissait d’un « sous-réseau interne de Google », afin d’émousser les soupçons
- Demande de code 2FA : au final, l’attaquant a poussé à la déconnexion de la session de l’appareil, et si l’utilisateur validait le code 2FA, le hacker pouvait accéder au compte
Analyse de Hack Club
- L’hypothèse avancée est qu’il a effectivement été possible d’obtenir un sous-domaine comme
important.g.co dans Google Workspace
- Cette faille aurait permis de rattacher un sous-domaine interne à g.co à un compte Google Workspace, rendant possible l’envoi légitime d’e-mails validés SPF/DKIM
- Plusieurs contributeurs ont examiné les en-têtes des e-mails, la configuration du domaine, etc., et confirmé le problème
Résumé
- Cela suggère que les vérifications traditionnellement considérées comme sûres — « confirmer le numéro officiel » et « vérifier qu’un e-mail provient d’un domaine officiel » — peuvent ne pas suffire
- Même plusieurs éléments censés prouver qu’il s’agit bien de Google (numéro de téléphone, domaine, DKIM/SPF) ne garantissent pas la fiabilité
- Dans une situation suspecte, il faut être particulièrement prudent avant de valider ou de transmettre un code 2FA demandé
- Il semble s’agir d’un cas d’exploitation d’une faille dans les comptes Google Workspace et la vérification de domaine, ce qui appelle à des améliorations de sécurité du côté du fournisseur de service
1 commentaires
Avis sur Hacker News
J’ai déjà visité des sites de phishing comme "colnbase.com", et c’est le fait que 1Password n’ait pas rempli automatiquement mes identifiants qui m’a permis de repérer le problème. Ce type de site de phishing peut tromper n’importe qui
Les appels provenant d’entreprises technologiques sont presque toujours des arnaques. L’identifiant de l’appelant ou son accent n’ont aucune importance
Il existe des attaques de phishing qui passent SPF, DKIM et DMARC, en utilisant le partage de Google Form pour envoyer des e-mails
Je considère les réinitialisations de mot de passe ou les alertes de paiement frauduleux comme du phishing, sauf si c’est moi qui les ai demandées. Je pense qu’il est plus sûr de vérifier d’abord s’il y a réellement un problème avant d’agir
Il n’existe pas d’enregistrement DNS pour important.g.co, et il y a un bug qui permet d’envoyer des e-mails depuis un Google Workspace non authentifié. J’imagine qu’il manque une protection sur le domaine g.co
Si j’avais suivi les deux "meilleures pratiques" consistant à vérifier le numéro de téléphone et à recevoir un e-mail depuis un domaine légitime, je me serais fait avoir. En revanche, je n’ai pas suivi la première, et l’expéditeur indiquait explicitement qu’il ne pouvait pas appeler
Je me demande comment il est possible d’usurper des e-mails depuis
workspace-noreply@google.com. La mention d’un mot de passe pour 'important.g.co' semble étrange, donc il pourrait s’agir d’une stratégie consistant à créer un compte "parallèle" avec la même adresse e-mail pour lui donner une apparence officielleJ’ai eu une expérience similaire il y a quelques mois : Google Workspace avait une fonctionnalité permettant d’envoyer des e-mails à l’expéditeur et à d’autres destinataires choisis. Le fait qu’on m’ait répondu que répondre était impossible m’a paru suspect
Google devrait réagir plus fermement à ce type d’attaque. Il existe une méthode sophistiquée pour compromettre un compte via le flux de récupération de compte ; je l’ai signalée, mais on m’a répondu : "ce n’est pas un bug, c’est classé comme risque d’abus"
L’expiration de domaines est une cause récente de la hausse des cyberattaques, car des acteurs malveillants s’en servent pour accéder à des systèmes