La faille de sécurité de Gmail pourrait conduire à une récolte massive de comptes

Une technique utilisée par les spécialistes du marketing pour inciter les gens à s'inscrire à des produits gratuits pourrait facilement être redéployée en tant que moteur de collecte d'un nombre incalculable de mots de passe de compte Google. Résoudre le problème ne sera pas anodin pour Google, car l'exploit est fondamental pour que Google permette aux utilisateurs de récupérer l'accès à leurs comptes lorsqu'ils perdent ou oublient leurs mots de passe.





La procédure de récupération de compte de Google peut empêcher les utilisateurs de comprendre qu'ils donnent aux pirates un accès complet à leur compte

Alors que d'autres ont signalé l'utilisation de cet exploit par des pirates informatiques, je pense que ce que vous lisez maintenant est le premier compte rendu de la façon dont il pourrait être transformé en une escroquerie de phishing de masse qui pourrait draguer même des utilisateurs relativement sophistiqués.

Le hack



Récemment, ma femme et moi avons tous les deux reçu, à moins d'une heure d'intervalle, un texto comme celui-ci :

Votre entrée le mois dernier a GAGNÉ ! Aller à http://xxxxxx entrez votre code gagnant : 1122 pour réclamer votre carte-cadeau Best Buy GRATUITE de 1 000 $ !

Nos numéros de téléphone sont presque identiques, donc le fait que nous ayons tous les deux reçu ce texte dans un court laps de temps suggère que quelqu'un l'envoie automatiquement à chaque numéro d'une certaine plage, l'un après l'autre. Ce qui en ferait du spam textuel classique, ennuyeux mais pas dangereux en soi.



L'URL contenue dans le texte renvoie à ce site Web, http://bestbuy.bestgiftcardsforu.com/ qui vous demande votre adresse e-mail. Le site semble être affilié à (ou du moins est lié et emprunte du texte à) MyRewardsClub.com . Je ne pense pas que ces gens soient des hackers, juste des marketeurs.

Mais voici comment les pirates pourraient transformer ce programme marketing en un programme de collecte de mots de passe : une fois que les utilisateurs ont saisi leur adresse e-mail, s'il s'agit d'une adresse Gmail, les pirates pourraient automatiquement demander à Google d'envoyer un code de vérification de compte sur le téléphone portable du propriétaire de ce Gmail. adresse. C'est ce que fait Google lorsque vous lui dites que vous avez oublié votre mot de passe - l'une des trois options pour le récupérer consiste à envoyer un code de vérification au numéro de téléphone portable associé à votre compte.

Pour que l'utilisateur puisse réclamer sa récompense (dans ce cas, une fausse carte-cadeau de 1000 $), le site pourrait alors lui demander de saisir le code de vérification que Google a envoyé sur le téléphone de l'utilisateur. Dès que le site a à la fois l'adresse Gmail d'un utilisateur et ce code de vérification, c'est fini - les pirates peuvent utiliser le code pour se connecter à ce compte et changer immédiatement le mot de passe, leur donnant accès et verrouillant l'utilisateur hors de leur propre compte.



Autres exemples de piratage

Cet exploit semble être précisément la façon dont un pirate informatique a eu accès à un certain nombre de comptes au cours de l'obtention d'images pour le site Web Is Anybody Up, comme décrit par Camille Dodero dans un fonctionnalité récente pour le Village Voice :

Est-il vraiment si facile de pirater un compte Gmail ? Voyez par vous-même : accédez à l'écran de connexion Gmail et cliquez sur le lien fréquemment ignoré situé sous le menu de connexion. Vous ne pouvez pas accéder à votre compte ? Trois options apparaissent ; choisissez J'ai oublié mon mot de passe. Tapez une adresse Gmail (toute adresse Gmail active) et s'il y a un numéro de téléphone associé au compte, vous disposez de trois options supplémentaires, dont l'une est Obtenir un code de vérification sur mon téléphone. Vous n'avez même pas besoin de connaître le numéro de téléphone. Appuyez simplement sur continuer et un code à six chiffres sans rapport apparaîtra dans un texte sur le téléphone du propriétaire du compte. Tapez ce code de vérification - un numéro facilement obtenu par un e-imposteur masqué - et vous y êtes. La première chose que vous êtes invité à faire est de changer immédiatement votre mot de passe, bloquant ainsi le propriétaire d'origine.



En d'autres termes, si un pirate informatique ne connaît que votre adresse Gmail et peut trouver comment accéder à votre téléphone, il est déjà presque dans votre merde.

Dans le cas du pirate informatique collectant des images pour Is Anybody Up, il semble qu'il ait discuté avec des cibles via Facebook.

Un programme d'hameçonnage de plus en plus courant

Cette attaque a été utilisée par d'autres et peut être généralisée. Lokesh Singh , un hacker professionnel, décrit sur le site HackingLoops comment un de ses clients a été victime de ce même hack , seul l'attaquant a utilisé Gchat pour convaincre la victime de lui remettre le code de vérification que Google lui avait envoyé par SMS.

En d'autres termes, Google et ses utilisateurs sont confrontés à un stratagème de phishing qui semble fonctionner même sur des utilisateurs relativement sophistiqués, ou du moins suffisamment intelligents pour ne pas cliquer sur des liens aléatoires dans les e-mails de spam. Mais ce que j'ai décrit au début de cet article porte potentiellement cette attaque à un tout autre niveau, au-delà des piratages de comptes individuels à forte intensité de main-d'œuvre et dans le domaine de la collecte automatisée de mots de passe à grande échelle.

C'est formidable que Google ait un moyen pour les utilisateurs de récupérer l'accès à leurs comptes Gmail qui repose sur un appareil secondaire auquel les pirates n'ont presque jamais accès - le téléphone portable d'un utilisateur. Le maillon faible, comme toujours, est l'humain qui a déjà accès à tous leurs points de contact supposés sécurisés – l'utilisateur lui-même. Peut-être que cette attaque peut être contrecarrée simplement en faisant prendre conscience du fait que personne ne devrait jamais, jamais remettre son code de vérification google .

cacher