Avertissement aux utilisateurs de Gmail
Des chercheurs en sécurité ont découvert une méthode de fraude très préoccupante.
Ce sont des chercheurs de l'entreprise de cybersécurité Sekoia qui ont découvert le nouveau service de fraude appelé Tycoon 2FA. Cet outil permet de contourner la sécurité appelée à "double authentification" (2FA), c'est-à-dire la protection des comptes avec soit un code envoyé par SMS ou soit un code à saisir, généré par une application d'authentification comme Google Authenticator.
Pour contourner la protection 2FA des comptes Gmail ou Microsoft365, Tycoon 2FA cherche à rediriger les victimes vers une page de connexion de compte clonée. Une fois le nom d'utilisateur et le mot de passe saisis, Tycoon 2FA présente ce qui semble être une véritable demande de saisie d'un code de double authentification pour confirmer l'identité de l'utilisateur. Cependant, ce que font les criminels, selon les chercheurs, est d'intercepter le code 2FA pour contourner les mesures de sécurité. Les cookies de connexion sont capturés et peuvent ensuite être réutilisés par les pirates afin de contourner les véritables protections 2FA sur le compte.
Lorsque les victimes tombent dans le piège de ces attaques de phishing contournant l'authentification multifacteur, elles se connectent effectivement elles-mêmes et autorisent l'accès. Ce n'est pas un échec de la part du mécanisme 2FA lui-même, car les identifiants saisis sont suffisamment authentiques.
Un posteur régulier des changements entre les versions de Tycoon 2FA sur un canal Telegram dédié, et portant une multitude de noms, est considéré par Sekoia comme le développeur du kit de phishing. Les chercheurs ont pu trouver des pages de phishing opérationnelles ciblant les comptes Gmail à vendre, à partir de seulement 120 dollars pour 10 jours d'utilisation, ainsi que d'autres conçues pour les comptes Microsoft 365.
Comment se protéger de cette nouvelle forme d'attaque qui contourne les protections de Gmail ou Microsoft365 ? En étant très vigilant lorsque vous recevez un mail qui vous incite à vous connecter à votre compte. C'est ainsi que commencent toutes les attaques. Il est donc recommandé de ne jamais cliquer sur le lien contenu dans le mail mais d'aller directement sur la page de connexion de votre compte. A partir de cette page de connexion, vous pourrez vous connecter en toute sécurité et ensuite consulter vos emails ou vos documents en ligne. Enfin, sachez que les outils comme Gmail ou Microsoft 365 ne vous écriront jamais pour vous demander de vous connecter.