Le FBI met en garde les utilisateurs de Gmail et Outlook contre une campagne de phishing sophistiquée utilisant de faux e-mails prétendument envoyés par Google. Ces messages, qui semblent provenir d’adresses légitimes comme no-reply@google.com, sont en réalité des tentatives malveillantes visant à voler vos informations personnelles.
📧 Une arnaque bien orchestrée
Les escrocs utilisent des services de Google comme Google Sites pour héberger de fausses pages de connexion. Les victimes reçoivent un e-mail alarmant, souvent au sujet :
- d’une assignation judiciaire,
- d’un problème de sécurité sur leur compte,
- ou d’un accès suspect à leur compte Google.
Le lien contenu dans le message renvoie vers un faux site imitant l’interface de Google. Si l’utilisateur saisit ses identifiants, ceux-ci sont directement récupérés par les pirates.
🧠 Pourquoi ces e-mails passent les filtres de sécurité
Cette escroquerie exploite une faille dans le protocole DKIM (DomainKeys Identified Mail), qui permet aux cybercriminels de faire passer leurs e-mails pour des messages authentiques signés par Google. Ainsi, même les systèmes anti-spam de Gmail et Outlook peuvent être trompés.
🛡️ Comment se protéger ?
Voici les gestes essentiels recommandés par le FBI et les experts en cybersécurité :
🔐 Activez l’authentification à deux facteurs (2FA)
Utilisez une app comme Google Authenticator plutôt que le SMS, plus vulnérable.
🔗 Vérifiez les adresses des sites web
Assurez-vous que l’URL est bien https://accounts.google.com avant de saisir vos données.
🚫 Ne cliquez jamais sur un lien douteux
Même si l’e-mail semble venir de Google, méfiez-vous des messages inattendus.
🛠️ Tenez vos logiciels à jour
Un navigateur ou un antivirus à jour est plus apte à détecter les menaces.
💾 Sauvegardez régulièrement vos données
Utilisez Google Takeout ou d’autres outils pour exporter vos informations.
❗ Que faire si vous êtes victime ?
Si vous avez cliqué sur un lien frauduleux ou saisi vos informations sur un faux site :
- Changez immédiatement votre mot de passe Google.
- Activez la double authentification.
- Vérifiez votre activité récente sur votre compte Google.
- Signalez l’incident au FBI (pour les résidents US) ou à votre autorité locale.
📣 En conclusion
Cette campagne de phishing montre à quel point les attaques deviennent ciblées et sophistiquées, même lorsqu’elles semblent provenir d’acteurs de confiance comme Google. La vigilance est plus que jamais nécessaire. En cas de doute, ne cliquez pas et prenez le temps de vérifier chaque message.
