Arnaque par téléphone et e-mail usurpant Google : un vol de 130 000 dollars rendu possible par la synchronisation des codes d’authentification

 (bewildered.substack.com)
1 points par GN⁺ 2025-09-18 | 1 commentaires | Partager sur WhatsApp
  • Un utilisateur raconte avoir été victime d’un phishing via un appel se faisant passer pour l’assistance Google et un e-mail usurpant legal@google.com
  • À cause de la fonction de synchronisation cloud de Google Authenticator, l’attaquant a aussi dérobé les codes de double authentification, compromis le compte Coinbase et volé des cryptomonnaies
  • Environ 80 000 dollars de cryptomonnaies ont été volés en à peine 40 minutes (soit environ 130 000 dollars à leur valeur actuelle)
  • Les failles de sécurité de Gmail et le réglage de synchronisation par défaut d’Authenticator sont pointés du doigt comme facteurs aggravants
  • Il est conseillé de respecter les règles de base de sécurité, comme changer régulièrement de mot de passe et ne jamais partager de code d’authentification, ainsi que de configurer prudemment la synchronisation cloud

Une arnaque déclenchée par un simple appel

  • Le 19 juin, réception d’un appel provenant de l’indicatif (650) de la zone « Pacifica, CA »
  • L’interlocuteur affirme appartenir à l’équipe de support Google et évoque une demande signalée de transfert de compte (avec même un certificat de décès et une pièce d’identité en pièce jointe)
  • Envoi d’un e-mail depuis une adresse ressemblant à la réalité, legal@google.com (au nom de l’expéditeur Norman Zhu), afin d’inspirer confiance comme s’il s’agissait d’un message officiel
  • Dans l’app Gmail sur iOS, l’affichage d’un expéditeur en @google.com, du branding et d’un numéro de dossier permettait un camouflage très convaincant
  • Sous prétexte de vérifier si la personne était toujours en vie, l’attaquant a demandé la confirmation d’un code temporaire ; pris dans un moment d’inquiétude, la victime l’a communiqué

Accès du pirate au compte Coinbase

  • En fin d’appel, des explications comme l’inscription à Google Advanced Security ont été utilisées pour rassurer la victime
  • La victime pensait avoir renforcé sa sécurité, mais l’attaquant avait déjà obtenu l’accès à Gmail, Drive, Photos et aux codes Authenticator synchronisés
  • Le point décisif a été le vol des codes 2FA via la synchronisation cloud de Google Authenticator
  • Peu après, l’attaquant s’est connecté au compte Coinbase et a commencé à voler les cryptomonnaies

Détails du vol de cryptomonnaies

  • Pendant environ 40 minutes, l’attaquant a multiplié les transactions pour répartir puis vider l’intégralité des ETH et autres tokens
  • La perte s’élevait à environ 80 000 dollars au moment des faits, soit environ 130 000 dollars au cours actuel
  • Deux heures plus tard, en consultant le solde Coinbase, la victime a découvert avec stupeur qu’il était presque à zéro
  • Elle a aussi constaté dans son compte Google l’historique de connexion d’un nouvel appareil et la modification du numéro de téléphone de récupération

Pourquoi même un expert en sécurité a pu se faire piéger

  • La victime explique travailler dans l’industrie IT et être elle-même conceptrice d’expériences d’authentification
  • Malgré une forte sensibilisation à la sécurité, elle a échoué à réagir correctement face au phishing à cause du faux e-mail et de la mise en scène d’une urgence

Les 2 erreurs de sécurité majeures de Google

  1. Échec du filtrage des e-mails usurpés envoyés depuis « @google.com »
    • L’usurpation du champ From permettait au message d’apparaître comme un e-mail officiel, et dans l’app Gmail sur iOS il était difficile de le vérifier immédiatement faute d’accès complet aux en-têtes
  2. Activation par défaut de la synchronisation cloud dans Google Authenticator
    • L’attaquant a récupéré les codes 2FA synchronisés, ce qui a neutralisé dans les faits l’efficacité de la double authentification
    • Résultat : exposition en une seule fois de l’ensemble des actifs numériques, y compris e-mails, 2FA, documents et photos
  • À noter : avertissement selon lequel la 2FA peut ne pas être fondamentalement sûre pour les utilisateurs qui utilisent à la fois Gmail et Google Authenticator

Bonnes pratiques et conseils de sécurité

  • Changer son mot de passe dès aujourd’hui et le renouveler régulièrement (les fuites de plus de 1,6 milliard de mots de passe se poursuivent)

  • Ne jamais partager un code d’authentification (les attaquants manipulent psychologiquement en jouant sur « l’urgence » et « l’anxiété »)

  • Utiliser avec prudence la synchronisation cloud de Google Authenticator

    • Elle améliore la facilité de récupération, mais s’accompagne aussi de risques de gestion

  • Toujours se méfier des appels suspects

    • En cas de doute, il est recommandé de raccrocher immédiatement puis de repasser par le canal officiel

  • L’auteur espère que ce cas servira d’alerte et aidera à éviter des incidents similaires

Explications complémentaires et contexte

  • Il est possible que l’attaquant possédait déjà le mot de passe à partir de la récente liste de 1,6 milliard de mots de passe divulgués
  • La victime affirme ne pas avoir réutilisé ce mot de passe ni l’avoir divulgué, mais ne l’avait pas changé depuis longtemps
  • Il est supposé que l’attaquant a contourné la 2FA en obtenant le code de récupération

À propos des e-mails de phishing

  • Plusieurs e-mails au nom de legal@google.com ont été reçus, mais l’attaquant a complètement supprimé toutes les traces, y compris la corbeille et l’historique de récupération
  • Toutefois, une partie des messages a pu être conservée grâce à des e-mails de rejet reçus après leur transfert vers phishing@google.com lors de la reprise de contrôle du compte
  • L’adresse e-mail phishing@google.com n’existe pas réellement ou n’est pas accessible depuis l’extérieur
  • L’e-mail d’origine portait le titre « Google Recent Case Status » et reprenait une mise en forme et un naming officiels, avec des indications de revue interne et de conservation d’un mot de passe temporaire
  • Il incluait aussi le nom d’un agent de support, « Norman Zhu », ainsi qu’un numéro de dossier et des informations de service

Résumé global

  • Il s’agit d’un cas de vol massif de compte et de cryptomonnaies né de la combinaison entre une attaque d’usurpation très sophistiquée et des défauts structurels de la plateforme
  • Un rappel que même la double authentification n’est pas une zone de sécurité absolue
  • Au-delà des règles de sécurité traditionnelles, ce cas souligne la nécessité de revoir les politiques au niveau des plateformes et de différencier les réglages de sécurité selon les services

À lire aussi

1 commentaires

 
GN⁺ 2025-09-18
Avis Hacker News

  • Vendredi dernier, j’ai reçu un appel similaire moi aussi, ça paraissait légitime. Mon astuce consiste à demander un numéro de ticket et un numéro officiel de rappel pour vérifier que c’est bien celui de l’entreprise. Si c’est authentique, on peut continuer la conversation ; sinon, on est fixé. L’appelant a dit qu’il pouvait « envoyer un e-mail prouvant que c’était officiel », mais il a refusé de donner un numéro de rappel, donc j’ai tout de suite compris que c’était une arnaque. Une adresse e-mail ou un numéro de téléphone, ça se spoofe très facilement. Même si le numéro affiché semble normal, il ne faut jamais lui faire confiance : il faut toujours rappeler via le numéro officiel pour vérifier.

    • Moi, je ne prends même pas le numéro qu’on me donne : je demande toujours le nom de l’entreprise et de l’agence, puis je cherche moi-même le numéro sur le site officiel de l’entreprise (par ex. https://amazon.com) avant d’appeler. C’est un peu moins pratique, mais bien plus sûr.

    • Il faut aussi faire attention quand on vérifie un « numéro officiel » via une recherche. Des faux numéros peuvent apparaître dans les résultats sur des sites qui ont l’air légitimes. Franchement, c’est une guerre sans armes.

    • Quand on dit que « même un vrai numéro ne rend pas le caller ID fiable », ça me rappelle que j’ai moi-même expliqué ça à ma banque il y a quelques années quand elle m’a appelé en demandant des informations personnelles pour vérifier mon identité.

    • L’idée du « numéro de téléphone officiel » est bonne, mais si l’attaquant a accès à SS7, ça ne sert plus à rien.

  • Des points à garder en tête, encore et encore

    • Le support client des grandes entreprises n’appelle jamais spontanément.

    • Si quelqu’un demande un code par téléphone ou par e-mail, ne jamais communiquer un code de vérification reçu par SMS ; le message dit généralement explicitement de ne pas le faire.

    • Il ne faut pas protéger des informations importantes avec un seul mot de passe. N’utilisez pas Google Authenticator lié à votre compte Google comme solution de gestion de mots de passe ; mieux vaut un tiers comme 1Password.

    • Il faut impérativement séparer l’adresse e-mail utilisée pour la banque et les investissements de celle qui est connue publiquement. Séparez aussi les profils Chrome par adresse e-mail et ne gardez comme extension que le gestionnaire de mots de passe.

    • Cela dit, il y a quelques semaines, j’ai reçu un appel d’un soi-disant support bancaire depuis un numéro introuvable en ligne. On m’a demandé de lire un code d’authentification reçu par SMS, j’ai refusé, puis ma banque en ligne a été bloquée. J’ai ensuite reçu un courrier postal assez menaçant disant qu’en l’absence d’échange avec un agent du support, la mise à niveau automatique du compte était impossible. Finalement, j’ai créé un nouveau compte dans l’app et je les ai appelés ; j’ai alors relu le code SMS (!), et c’était effectivement l’unique étape de vérification du nouveau compte. C’est ainsi que fonctionne l’une des 100 plus grandes banques du monde. On a l’impression que les entreprises entraînent elles-mêmes les gens à se faire arnaquer. C’était une banque allemande, mais Chase a aussi cette habitude de demander des codes OTP par téléphone.

    • Le support client de Google Nest Thermostat m’a déjà demandé un code de vérification pour désactiver un réglage d’économie d’énergie (une fonction qui permet au fournisseur d’électricité d’ajuster la température pour réduire la consommation). J’ai refusé en disant : « Le message indique de ne pas le communiquer », et le support a simplement proposé une autre méthode. La demande elle-même était bizarre.

    • Jusqu’à récemment, Chase demandait aussi ce type de code par téléphone lorsqu’il contactait les clients pour une alerte à la fraude. C’est vraiment insupportable.

    • Je laisse mon téléphone en mode « Ne pas déranger » la plupart du temps. Seuls cinq membres de ma famille proche peuvent faire sonner l’appareil. Je ne réponds jamais aux numéros inconnus, et si c’est vraiment urgent, la personne peut laisser un message vocal. J’ai l’impression qu’au téléphone on perd facilement sa lucidité sur le moment. C’est un peu comme la technique qui consiste à demander son chemin pour voler ensuite votre montre. Ce n’était pas au départ pour des raisons de sécurité, mais c’est très bien aussi pour éviter les sollicitations bancaires et l’exposition aux hackers.

    • Malheureusement, certains centres d’appels utilisent réellement une procédure où ils vous appellent, vous envoient un code par SMS ou e-mail pour vérifier votre identité, puis vous demandent de le relire.

  • Cette attaque ressemble à de la pure ingénierie sociale, et il ne semble pas qu’il y ait eu de spoofing d’e-mail. Il est fort possible que l’e-mail ait réellement été envoyé officiellement par Google. J’imagine que l’attaquant a initié la procédure officielle de récupération de compte Google, ce qui a déclenché l’envoi par Google d’un e-mail contenant le code. Comme la victime a donné ce code à voix haute, l’attaquant a probablement obtenu un accès complet au compte Google (et à Gmail, ainsi qu’à l’application d’authentification sauvegardée dans Google Drive). J’aimerais vraiment voir les en-têtes complets de l’e-mail.

    • L’e-mail envoyé depuis legal@google.com ne semble pas authentique. Il y a des fautes de grammaire dans le premier paragraphe et au début du deuxième. Qu’un e-mail du service juridique contienne ce genre d’erreurs basiques de ponctuation et de formulation me paraît impossible. Si c’était un vrai message officiel, il aurait forcément été relu. C’est faux.

    • Si l’e-mail avait été envoyé par l’attaquant, je ne comprends pas pourquoi la victime aurait encore eu besoin de donner le code.

    • « Réinitialisation du mot de passe Coinbase » : utiliser Gmail pour des services critiques comme la banque, la crypto ou les domaines, c’est vraiment risqué. Moi aussi, je connais mon mot de passe Google mais je reste bloqué hors du compte à cause du 2FA.

  • Il faut toujours se méfier des numéros inconnus. Si quelque chose semble anormal, il vaut mieux raccrocher et recontacter soi-même l’entreprise pour recommencer l’échange. Je suis d’accord avec ce conseil. En y repensant, je réponds rarement au téléphone si je n’attends pas d’appel, et c’est probablement ce qui m’a évité beaucoup d’arnaques. Je trouve décevant que la synchronisation cloud des codes Authenticator chez Google ait permis à l’attaquant d’accéder finalement à Gmail, Drive, Photos et l’application d’authentification.

    • En général, je ne réponds pas aux numéros inconnus, mais il y a quelques jours quelqu’un m’a appelé en se faisant passer pour un employé d’Amazon, en disant qu’un iPhone à 600 000 wons avait été acheté sur mon compte. Pour vérifier son identité, je lui ai demandé quel était le dernier produit que j’avais commandé, mais il restait complètement évasif. On a fini par rester 20 minutes au téléphone, puis il a commencé à m’insulter avant de raccrocher. En arrière-plan, j’entendais en même temps un énorme vacarme de gens qui semblaient passer la même arnaque à d’autres. Je ne comprends toujours pas pourquoi j’ai laissé durer la conversation aussi longtemps.

    • Le signal d’alarme le plus évident dans ce type d’arnaque, c’est que « le support vous contacte en premier ». Quand on a réellement un problème urgent et qu’on veut joindre le vrai support, on n’arrive jamais à les avoir.

    • Ma règle aujourd’hui, c’est : tout numéro inconnu part directement sur la messagerie vocale. Si c’est important, on me laisse un message et un numéro. Si c’est vraiment nécessaire, je rappelle moi-même. Les seules exceptions, c’est quand j’attends un appel d’un établissement médical ou d’un livreur. C’est mon filtre.

    • J’applique la règle des 1 à 2 secondes. Je réponds, je dis bonjour, et s’il n’y a pas de réponse dans les 1 ou 2 secondes, je raccroche. Les escrocs arrivent souvent depuis une file d’attente d’appels, donc il y a un petit délai, et ils doivent aussi se remettre dans leur script. Ils réagissent moins vite qu’en conversation normale parce qu’ils ont besoin d’un temps de préparation. Un appel qui ne répond pas immédiatement a de fortes chances d’être du spam.

    • J’ai activé le blocage total des numéros inconnus non seulement sur mon téléphone, mais aussi sur ceux de mes parents. Je leur répète régulièrement de ne pas croire les arnaques par e-mail, mais malgré ça, une ou deux fois par an, ma mère m’appelle encore, paniquée, à cause d’un « e-mail d’arnaque qu’elle croyait authentique ».

  • Ne pas répondre au téléphone est ma règle de base. En pratique, je laisse activé le mode « Ne pas déranger » et seuls les numéros favoris peuvent faire sonner le téléphone. Les gens qui ont vraiment besoin de vous joindre — qu’ils soient légitimes ou malveillants — laisseront un message vocal. Si quelqu’un prétend appeler au nom d’une entreprise, je vérifie moi-même. Ce cas montre bien que lorsqu’un appel n’a pas été sollicité, même s’il paraît crédible, il vaut mieux ne même pas engager la conversation. Et je ne conserve jamais d’informations sensibles dans un compte Google. Toute personne ayant travaillé dans la tech sait à quel point c’est risqué.

    • Je connais très bien le risque des appels spam, inutile de me l’expliquer. En revanche, je trouve qu’on écarte trop facilement l’idée qu’un « service sécurité de banque » puisse réellement appeler pour avertir d’une fraude. Il est tout à fait possible que je n’aie pas reconnu le numéro de ma banque, et je ne suis pas sûr que l’attitude correcte soit forcément de ne jamais répondre.

    • Il m’est déjà arrivé de recevoir des appels authentiques d’un gouvernement ou d’une banque pour des sujets vraiment importants (par exemple une erreur dans une déclaration fiscale). Donc je ne pense pas que l’unique bonne réponse soit de ne jamais décrocher. À noter aussi qu’en Europe, la messagerie vocale est peu utilisée ; c’est surtout une habitude américaine.

  • On peut tout à fait se faire voler de la crypto sans aucun spoofing d’adresse e-mail. Des criminels peuvent aussi simplement menacer quelqu’un avec une arme pour lui faire donner sa seed ; ce genre de cas existe réellement. C’est bien pour cela que les banques traditionnelles restent bien plus sûres que la crypto. La personne qui a partagé cette expérience a bien fait, mais j’espère que la vraie leçon retenue sera que la crypto n’est pas un bon moyen de stocker de la valeur en sécurité.

    • Cela dit, appeler des victimes au téléphone est bien plus scalable que de se rendre chez elles avec une arme.

    • Et quand même, très Hacker News comme réaction : considérer que la menace armée n’est pas le vrai sujet.

    • Le multisig est utile pour la sécurité crypto. Par exemple, avec un schéma 2-of-2, on peut partager la signature avec une institution de confiance comme une banque, ce qui peut offrir une meilleure sécurité qu’une banque classique. Avec un 3-of-5 ou d’autres configurations à plusieurs clés, on peut aussi se protéger contre la coercition, par exemple si une mauvaise saisie de PIN sur un token matériel efface la clé.

    • Les portefeuilles multisig sont la solution. Le fait d’exiger l’accord de plusieurs personnes avant un retrait agit aussi comme un frein sur les dépenses. En revanche, quand plusieurs personnes sont impliquées, cela peut devenir un risque en soi. Et avec un cold wallet hors ligne, le piratage peut prendre des heures, ce qui laisse au moins du temps pour réagir.

    • La BD https://xkcd.com/538/ vaut aussi le détour.

  • La vraie question décisive, c’est : pourquoi l’attaquant n’a-t-il pas aussi vidé les comptes bancaires, de retraite ou les cartes de crédit ? En pratique, les banques sont beaucoup plus sensibles au piratage des comptes clients.

    • Quand on dit que « les banques y prêtent attention », cela veut surtout dire qu’elles ont des politiques d’indemnisation si le client a pris des mesures raisonnables et que son compte est malgré tout compromis. Du coup, elles prennent naturellement davantage au sérieux les fraudes portant sur de gros montants. À titre d’exemple, il y a encore 10 mois, on trouvait sur Reddit des discussions disant que la combinaison Coinbase + Google Authenticator représentait le meilleur niveau de sécurité : fil Reddit sur le piratage Coinbase

    • En revanche, ce même raisonnement pousse aussi les banques à forcer les clients à n’utiliser que des apps smartphone très verrouillées pour leurs opérations bancaires, ce qui pose problème. Il n’existe presque aucun juste milieu entre la défiance totale envers le client et le transfert complet de la responsabilité sur lui.

    • Les virements depuis un compte bancaire ou de courtage prennent du temps. Pendant ce délai, si l’on détecte la fraude et qu’on la signale, le compte peut être gelé, ce qui aide à éviter une perte immédiate.

    • Certains pensent malgré tout que les banques ne s’en soucient pas tant que ça.

  • Le déroulement reste flou et difficile à comprendre. Si tout a vraiment été compromis avec un simple code 2FA, c’est extrêmement grave. Il pourrait aussi s’agir d’un mot de passe déjà divulgué, d’une réutilisation de mot de passe, ou simplement d’un compte Google déjà exposé. Si un simple code 2FA a suffi pour passer du compte Google à l’application d’authentification puis au gestionnaire de mots de passe, l’effet domino pourrait faire tomber le 2FA d’autres services aussi. Ce qui m’intéresse le plus, c’est de savoir s’il y a eu réutilisation de mot de passe. Pour référence : je travaille chez Google, mais pas dans l’équipe sécurité.

    • À mon avis, l’attaquant possédait déjà mon mot de passe et n’avait finalement besoin que du code de récupération que j’ai donné par téléphone. Je n’avais ni partagé ni réutilisé mon mot de passe, mais je ne l’avais pas changé depuis longtemps.

    • Même avec seulement le mot de passe, si quelqu’un contrôle l’e-mail et les codes 2FA, il peut prendre le contrôle de tous les comptes via des réinitialisations de mot de passe.

  • Le texte manque de détails techniques concrets, mais il est inquiétant qu’en 2025 Google ne sache toujours pas bloquer correctement des e-mails qui « ressemblent » à du @google.com. On ne sait pas si c’est dû à du spoofing Unicode, à l’absence d’authentification type DKIM, ou à un compte déjà compromis. Globalement, il y a beaucoup d’incohérences.

    • J’ai l’impression que l’idée même des noms de domaine Unicode n’a jamais vraiment fonctionné correctement. En pratique, ce sont surtout les escrocs et les criminels qui en profitent. Merci ICANN, bien sûr.

    • Ce qui manque dans le post, c’est une explication sur la façon dont l’e-mail pouvait sembler venir du domaine google. Le fait que l’auteur dise travailler dans la sécurité tout en restant aussi vague paraît aussi étrange.

  • Quelqu’un fait remarquer qu’on ne voit nulle part le conseil pourtant évident : « ne laissez pas plusieurs centaines de milliers de dollars sur un compte Coinbase ».

    • Moi, j’avais réparti mes cryptos entre Coinbase et deux disques durs défectueux, et maintenant je n’arrive pas à récupérer les disques.

    • Je recommanderais carrément de ne pas investir du tout dans la crypto : en dehors de la spéculation et du blanchiment d’argent, il est difficile d’y voir une valeur réelle, et les risques sont nombreux.