Sophisticated Google Phishing Scam !??! Usurpation d’identité,
Grâce à une usurpation d’identité, un expéditeur parvient à vous envoyer un courriel de type frauduleux !??!
Cette réécriture à propos de l’article original est produite par Guilty Coookie, en date du 25/04/25.
*************************************************************************************************
L’écriture d’articles pour moi est un plaisir, que je souhaite simplement partager. Je ne désire pas m’approprier l’idée originale, ni même l’écriture, mais d’agrémenter une traduction en français. Étant donné qu’il s’agit de lire un article, j’ai sélectionné les caractéristiques de rédaction suivantes :
– court, bref, aucune orientation politique, le moins partisan possible,
– aucune décision n’est prise à la place du lecteur (!!! ceci n’est pas un manuel !!!),
– agrémenter de quelques liens importants, dans le but de documenter le propos de l’article,
– l’aide à la correction analyse le texte dans le but d’atteindre un style le plus général possible.
Afin de compléter le partage, j’informe les lecteurs que je ne peux être tenu responsable d’une mauvaise lecture ou même d’une mauvaise compréhension. Vous pouvez me signaler une erreur, une omission ou tout autre point. Les réponses qui ne sont pas construites ou qui n’ont pas un sens positif ne seront pas considérées. Vous êtes considéré comme étant informé, même si vous n’avez pas lu ces lignes. Merci pour la lecture de l’avertissement.
*************************************************************************************************
Article original
La partie sélectionnée de l’article.
Dans le cadre d’une technique d’hameçonnage sophistiquée (USURPATION), les attaquants ont exploité une faille qui leur permettait d’envoyer des courriels qui semblent provenir des systèmes de chez Google. Ces courriels passent les contrôles d’authentification standard, y compris le Domain Keys Identified Mail (DKIM), ce qui pourrait diriger les destinataires en direction de sites Web frauduleux conçus pour recueillir les identifiants de connexion.
Lorsqu’ils sont transférés dans la boîte de réception Gmail d’un destinataire, les courriels restent signés DKIM et qui paraissent authentiques, puisque DKIM vérifie uniquement le contenu et les en-têtes, et non le contexte. Une technique similaire a été utilisée récemment dans des attaques d’hameçonnage contre les utilisateurs de PayPal.
* Les services techniques de Google ne peuvent prendre, comme vous le comprendrez plus tard, l’entièreté de la responsabilité sur ce type de problème. Il s’agit du contexte, l’utilisateur a aussi une forme de responsabilité quand il consulte les courriels. Ensemble nous œuvrons pour le meilleur.
Parlons un peu du contexte!
Il reste encore beaucoup de travail à faire, en plus d’ouvrir la boîte de courriels et de jeter les pourriels. Nous oublions souvent d’examiner certains aspects qui peuvent faire la différence. L’observation de certains détails est très importante, ne vous inquiétez pas, c’est une petite liste non exhaustive :
1. La composition du texte (orthographe et grammaire, dans la langue respective),
2. Les aspects du graphisme (une exécution claire et distincte, fiable),
3. La typographie est importante à plus d’un égard,
4. Ne pas cliquer sur un lien sans vraiment avoir compri sa destination ou à ce qui peut déclencher
(afficher l’original, si vous voulez voir l’adresse de destination, cette affichage vous montre le code original du courriel),
5. Ne pas afficher les images originales au possible ? Il faut régler le lecteur de vos courriers pour qu’il vous demande votre autorisation (est-ce courant d’insérer du code dans une image [IA – suggestion depuis google gateway]).
6. Quelque chose de pas courant, inattendu, pas normal peut être un signe, que cela soit visuel ou une question, une demande mal formulée, une suggestion appropriée ou pas !
7. Être attentif à la qualité, ainsi qu’à la tournure du message qui est adressé au destinataire.
Un complément d’information.
https://proton.me/blog/fr/what-are-email-headers [fr-version].
[google-search [en] email header list
[google-search [fr] list des en-têtes pour les courriels
Certaines informations importantes concernant les courriels se trouvent dans leur en-tête [afficher l’original, pour Gmail]. On peut soit utiliser un logiciel pour analyser les en-têtes [analyse d’en-tête] ou en faire la lecture. C’est plus long, mais plus instructif (de toute manière, le Web est là pour nous).
Tous les paramètres sont importants, mais ceux-là sont pour le premier coup d’œil, ils informent que le courriel passe les validations par signature. Les deux versions utilisées de la notion de l’adresse IP sont utilisées, IPv4 et IPv6, techniquement c’est normal !
Un exemple sur l’utilisation d’une en-tête de courriel, en affichant l’original :
1. Afficher l’en-tête original du courrier à analyser.
2. Un nombre de lignes techniques (en dehors du corps du courriel lui-même, le message qui vous est adressé) qui est beaucoup trop grand, peut être révélateur d’un problème (les en-têtes les plus courts sont les meilleurs) ?
3. Chercher l’adresse de l’expéditeur, elles sont présentes à des places différentes (de la lecture attentive en perspective) ?
- <ARC-Authentication-Results: i=1; xxxxxxx.com 1; spf=pass (sender ip is XXXXX I_HIDE_IP XXXXX) smtp.rcpttodomain=xxxxxx.ch smtp.mailfrom=xxxxxx.ch; dmarc=pass>
4. Trouver un programme en ligne (sur le Web) pour les requêtes DNS inversées avec Lookup (https://mxtoolbox.com/Reverse Lookup.aspx) qui est un outil parmi d’autres.
5. Pour faire la requête, transmetter l’adresse IP à l’aide du champ prévu à cet effet, patienter pour avoir un résultat.
- (Reported by XXX I_HIDE_DOMAINE XXX on 4/25/2025 at 1:47:52 AM (UTC -5)).
6. Allez chez (virustotal.com), dans le champ des recherches (URLS, DOMAINES), informer le nom du domaine à analyser et inspecter le résultat. Si vous voulez regarder les autres informations, c’est intéressant et informatif.
7. Aussi, faites des recherches depuis le Web, pour mieux comprendre les aspects techniques.
Une partie d’un en-tête de courriel, pour voir à quoi cela peut ressembler.
Delivered-To: aka.hkt@gmail.com
Received: by 2002:a50:2485:0:b0:28e:9417:65a4 with SMTP id v5csp6134365ece;
X-Google-Smtp-Source: AGHT+IHtuF5nObYNKjcxlnRos3MRgVDOfJLIQCs2KCEKleAE3IBV2Kxt5fosRPa1emOdrXx3O1hr
X-Received: by 2002:a05:622a:1316:b0:476:ac73:c3f6 with SMTP id d75a77b69052e-48131227284mr177581621cf.4.1745878299150
[…]
…[spf=pass] (google.com: domain of m-4sguzn6u5r5n9wvqhi9fi5znm5o0ayd76y17c6q7xnxo3g7tak0yoa5o@bounce.linkedin.com designates 2620:109:c003:104::203 as permitted sender) smtp.mailfrom=m-4sguzn6u5r5n9wvqhi9fi5znm5o0ayd76y17c6q7xnxo3g7tak0yoa5o@bounce.linkedin.com;
Return-Path:<m-4sguzn6u5r5n9wvqhi9fi5znm5o0ayd76y17c6q7xnxo3g7tak0yoa5o@bounce.linkedin.com>Received: from maile-dc.linkedin.com (maile-dc.linkedin.com. [2620:109:c003:104::203])
Received: from maile-dc.linkedin.com (maile-dc.linkedin.com. [2620:109:c003:104::203])
[…]
Des outils qui peuvent être utiles pour comprendre le fonctionnement d’un courriel.
https://mxtoolbox.com/EmailHeaders.aspx
Si vous voulez tester un programme en ligne, j’ai mis un fichier en pièce jointe qui contient un en-tête d’un mail reçu et qui d’apparence donne une certaine satisfaction mais, qui à aussi un certain problème, qui est étonnant d’ailleurs ? Le hash du “<body></body>” dans le code HTML qui représente les informations contenues dans le courriel est mauvais (pas confirmé, y-a-t-il eu modification ????).
https://toolbox.googleapps.com/apps/messageheader/analyzeheader
De l’expéditeur (email-dc.linkedin.com) à mon récipient (2002:a50:2485:0:b0:28e:9417:65a4), ce en termes de région des services de chez google, il y a un autre service smtp (interne) de chez Google.
|
# |
Delay |
From |
|
|
To |
Protocol |
Time received |
|
0 |
0 sec Send from |
maile-dc.linkedin.com |
→ |
[Google] |
mx.google.com |
4/26/2025, 10:09:26 PM GMT+2 |
|
|
1 |
1 sec mx.google.com |
|
→ |
[Google] |
2002:a05:6808:3092:b0:3fe:af0a:f8da |
4/26/2025, 10:09:26 PM GMT+2 |
|
|
2 |
1 sec Receive to |
|
→ |
[Google] |
2002:a50:2485:0:b0:28e:9417:65a4 |
4/26/2025, 10:09:27 PM GMT+2 |
Le mot de la fin.
Si votre boîte aux lettres électronique affiche trop de pourriels (ce qui ne devrait plus être le cas actuellement, car notre technologie est aboutie dans un sens général), vous pouvez utiliser des filtres, mais si cela continue vraiment, il vous faudra trouver un meilleur gestionnaire d’emails (cet argument est vraiment à prendre au sérieux).
Il est bon d’envisager un auto-audit des habitudes de navigation et, en fonction de votre envie, de changer celles-ci un peu. Le temps que l’on passe en ligne laisse des traces, même infimes.
Ceci permet de créer un sillage qui peut être suivi par des bots (robots) ou des personnes très intéressées par ces informations (de toute manière, le sillage est analysé par des instances techniques légales). Bien sûr, il y a parmi ces informations des aspects légitimes (à vous de prendre des dispositions en fonction de vos envies).
Des liens supplémentaires, qui font référence à des sites techniques dans plusieurs domaines, l’information, l’analyse simple et plus importantes, liste de fichiers qui sont déjà repérés par des services sur le Web.
|
* Effectivement, je n’incite personne à utiliser les informations présentes dans cette révision d’article pour en faire quelque chose d’illicite ou de malveillant envers quiconque. Les machines, quelles qu’elles soient, sont comprises dans mon avertissement. Cela comprend aussi les actions contre votre propre matériel ou terminal/périphérique. Pour ma part, vous êtes en responsabilité concernant vos actions. |
Vous voilà, un peu informé de certains aspects techniques, tout en vous souhaitant une bonne navigation et de bonnes lectures.
Réfs:
[bien pour tester les antivirus, attention à la manipulation
(laissez les payloads dans les fichiers zippé !!!)]
https://community.spiceworks.com
https://forum.hackersploit.org
Others useful stuff:
[reverse dns query or dns lookup] https://mxtoolbox.com/ReverseLookup.aspx
[RFC about emails headers] https://www.iana.org/assignments/message-headers/message-headers.xhtml
Guilty Coookie n°-0000001 2025.
