Google propose un service aux universités nommé Google Public Search Service qui permet de créer une page personnalisée sous la forme google.com/u/name. Eric Farraro a réussi à démontrer comment détourner l’utilisation de ce service initialement dédié à la recherche pour les universités et les associations.

Eric a utilisé ce service pour créer un nouveau service virtuel nommé Gmail Plus et possédant la même interface que Gmail, en exploitant une faille du système (exécution de code javascript dans le header et le footer de la page). L’utilisateur qui tente ainsi de se connecter au nouveau service donne ainsi ses informations de connexion en pensant accéder à un vrai service Google.

Ce cas de Phishing est intéressant car contrairement aux autres cas de phishing qui utilisent des adresses ressemblantes à Google.com, Gmail Plus est directement hébergé par Google, et possède donc une vraie adresse Google, sous la forme google.com/u/Gplus. Il est ainsi facile, même pour un initié de se faire piéger par cette vraie/fausse adresse.

Google en découvrant la faille dans son système a immédiatement suspendu la dite page mais également les inscriptions à son service Google Public Search Service.

Seul conseil pour éviter de tomber dans le panneau, vérifiez bien l’URL dans la barre d’adresse avant de renseigner vos login et mot de passe.

 

Sur le même sujet:

Cas de Phishing sur Gmail

Transférez vos emails Hotmail sur Gmail via Outlook Connector

Découvrez la vidéo collaborative de Gmail

Gmail pose des problèmes en Allemagne

Imprimez vos emails avec Google Papier (Poisson d’Avril)

Gmail

Partager cet article