Lorsque nous parlons des techniques utilisées par les cybercriminels, nous vous conseillons toujours de vérifier minutieusement l’URL du lien que vous avez reçu par e-mail avant de cliquer. Un autre point devrait éveiller vos soupçons : un lien qui ouvre une page traduite par Google Traduction. En théorie, on pourrait croire que l’expéditeur du message vous invite à consulter le site dans une autre langue afin de vous aider. En pratique, malheureusement, cette technique est généralement utilisée pour leurrer les mécanismes anti-hameçonnage. Si le message fait partie d’une conversation professionnelle et que le site qui s’ouvre après avoir cliqué sur le lien vous demande de saisir vos identifiants, fermez immédiatement la fenêtre du navigateur et supprimez l’e-mail.
Pourquoi les cybercriminels utilisent des liens Google Traduction
Analysons un cas récent d’hameçonnage via un lien Google Traduction que nous avons intercepté :
L’expéditeur du message explique que la pièce jointe est un document de paiement que seul le destinataire peut ouvrir et qui doit être étudié pour une « réunion au cours de laquelle le contrat et les paiements suivants seront présentés ». Le lien du bouton « Open » (Ouvrir) ouvre un site traduit par Google Traduction. Pourtant, cela n’est évident qu’une fois que l’utilisateur a cliqué sur le lien puisqu’il apparaît de cette façon dans le message :
Les tournures de phrase étranges sont peut-être intentionnelles ; les cybercriminels essaient de prouver que l’anglais n’est pas leur langue maternelle afin de justifier le lien Google Traduction et de le rendre plus convaincant. Peut-être qu’ils n’ont jamais vu de message avec des documents financiers. Faites particulièrement attention aux deux autres liens des boutons « Unsubscribe From This List » et « Manage Email Preferences » ainsi qu’au domaine sendgrid.net du lien.
Tout cela montre que le message n’a pas été envoyé manuellement mais par un service de messagerie légitime, dans ce cas par SendGrid, mais les cybercriminels auraient pu utiliser n’importe quel autre service. Normalement, les services de ce genre protègent leur réputation et suppriment régulièrement les campagnes d’hameçonnage avant de bloquer leurs créateurs. C’est pourquoi les escrocs utilisent Google Traduction pour les liens. Les mécanismes de sécurité des fournisseurs de services de messagerie considèrent que le domaine de Google est légitime et déterminent que le lien n’est pas suspect. En d’autres termes, les escrocs cherchent à tromper l’utilisateur pris pour cible mais aussi tous les filtres des services intermédiaires.
Quelles sont les conséquences d’un lien traduit par Google Traduction ?
Google Traduction vous permet de traduire des sites entiers simplement en entrant le lien et en choisissant la langue source et la langue cible. Vous obtenez alors le lien d’une page où le domaine original est composé et l’URL est complétée par le domaine translate.goog, suivi du nom de la page originale et des codes qui indiquent la langue originale et celle utilisée pour la traduction. Par exemple, l’URL de la page d’accueil de notre blog en anglais www.kaspersky.com/blog ressemblerait à cela si on cherchait à la traduire en espagnol : www-kaspersky-com.translate.goog/blog/?_x_tr_sl=auto&_x_tr_tl=es&_x_tr_hl=en&_x_tr_pto=wapp.
Il est évident que le message d’hameçonnage que nous avons examiné cherchait à leurrer l’utilisateur :
Même si l’URL contient plusieurs caractères étranges, la barre d’adresse du navigateur montre clairement que le lien a été traduit par Google Traduction.
Comment vous protéger
Pour éviter que vos employés ne soient victimes des cybercriminels, nous vous conseillons de rafraîchir régulièrement leurs connaissances en techniques d’hameçonnage, par exemple en leur envoyant les liens pertinents de notre blog, ou, encore mieux, de les former sur les menaces informatiques actuelles grâce à des outils spécialisés. D’ailleurs, dans l’exemple ci-dessus, un utilisateur formé n’aurait jamais ouvert la page d’hameçonnage puisqu’il sait qu’il est peu probable qu’un document financier légitime qui s’adresse à un destinataire spécifique soit envoyé par un fournisseur de services de messagerie. Il y a quelques semaines de cela, nous avons publié un article sur les attaques d’hameçonnage qui se servent de ces services.
Afin d’être vraiment sûr, nous vous conseillons également d’installer des solutions équipées de technologies anti-hameçonnage au niveau du serveur de la messagerie électronique de votre entreprise et sur tous les dispositifs des employés.