Vous êtes victime d'une attaque ?
Le Security Operations Center (SOC) d'Integrity360 a récemment identifié et analysé une campagne de phishing avancée exploitant des URL de redirection Google légitimes, en particulier des domaines tels que share.google, afin de dissimuler la destination finale des liens malveillants et d'augmenter de manière significative la probabilité d'interaction avec l'utilisateur.
Cette activité s'inscrit dans une tendance mondiale plus large et bien documentée, observée par de nombreux organismes de recherche en cybersécurité et fournisseurs de renseignements sur les menaces, soulignant l'abus croissant des mécanismes de redirection Google comme technique d'évasion et d'ingénierie sociale. Les résultats obtenus par le SOC Integrity360 sont parfaitement cohérents avec les recherches publiées et confirment que ces campagnes sont restées actives et ont évolué entre la fin de l'année 2025 et le début de l'année 2026.
Observations initiales du SOC Integrity360
Au cours de ses activités de surveillance de routine et de réponse aux incidents, le SOC Integrity360 a détecté une augmentation du nombre d'e-mails de phishing signalés par Microsoft Defender et contenant des URL présentant les caractéristiques suivantes :
- URL commençant par https://share.google/
- Chemins d'accès URL composés de chaînes alphanumériques apparemment aléatoires
- Pas d'indicateurs malveillants évidents dans la partie initiale de l'URL
- Redirection vers des domaines externes, non Google
Voici un exemple représentatif observé :
https://share.google/WZVPCOYZZLbKAmFeF
À première vue, ces liens semblent légitimes pour les utilisateurs finaux en raison de la confiance inhérente à la marque Google. Toutefois, l'analyse dynamique a confirmé que ces URL fonctionnaient comme des redirecteurs, transférant les utilisateurs vers des destinations externes et potentiellement malveillantes.
Comportement de redirection et techniques d'évasion
L'analyse en bac à sable menée par le SOC Integrity360 a révélé que la destination finale de la redirection n'est pas statique. Au contraire, elle peut varier en fonction de plusieurs facteurs, notamment l'agent utilisateur, le contexte de navigation et les attributs environnementaux. Dans certains cas, les environnements sandbox ont été redirigés vers des sites Web bénins ou aléatoires, tandis que les utilisateurs réels ont été dirigés vers des pages de phishing actives.
Ce comportement est cohérent avec les techniques avancées d'évasion des bacs à sable conçues pour contourner la détection automatique, les systèmes de réputation des URL et l'analyse des liens des passerelles de messagerie sécurisées.
Emails auto-spoofés et utilisation abusive de l'infrastructure de Google
Une autre caractéristique notable identifiée au cours de l'enquête est l'expéditeur apparent des courriels d'hameçonnage. Dans de nombreux cas, les courriels semblaient provenir du compte Gmail personnel du destinataire et étaient envoyés à l'adresse électronique de l'entreprise.
Cette technique, communément appelée self-spoofing ou replay phishing, exploite la confiance et la familiarité des utilisateurs, ce qui augmente considérablement la crédibilité du message et réduit la méfiance de l'utilisateur. En s'appuyant sur l'infrastructure légitime de Google, ces courriels peuvent contourner les contrôles de confiance et d'authentification de base.
Alignement sur les campagnes publiquement documentées
Les techniques observées par le SOC Integrity360 reflètent étroitement celles documentées par de nombreux chercheurs et fournisseurs en cybersécurité. Les recherches publiques ont toujours montré que les attaquants abusent de divers mécanismes de redirection de Google, notamment share.google, google.com/url, google.sm, Google AMP, Google Translate et Google Maps, pour masquer des destinations malveillantes et contourner les contrôles de sécurité.
Les attaquants alternent fréquemment les domaines, les chemins d'accès et les paramètres pour échapper aux règles de détection statiques, en s'appuyant sur la réputation élevée des domaines appartenant à Google qui sont souvent implicitement approuvés ou autorisés dans les environnements d'entreprise.
Impact sur les entreprises
Ces techniques d'hameçonnage présentent un risque important pour les entreprises, et ce pour plusieurs raisons. Les domaines Google de confiance réduisent le scepticisme des utilisateurs, le filtrage des URL statiques devient inefficace, les environnements de bac à sable peuvent ne pas observer le véritable comportement malveillant, et les courriels auto-fabriqués réduisent considérablement la vigilance des utilisateurs.
Les organisations qui s'appuient principalement sur la réputation des domaines ou l'inspection statique des liens sont particulièrement vulnérables à ces campagnes.
Recommandations de sécurité
Sur la base de ces résultats, le SOC Integrity360 recommande une approche de défense à plusieurs niveaux. Les contrôles d'authentification du courrier électronique doivent inclure une application stricte de DMARC en quarantaine ou en rejet, un alignement SPF rigoureux et une signature DKIM obligatoire pour le courrier sortant afin de réduire l'efficacité des attaques par usurpation d'identité et par rejeu.
Les contrôles de sécurité web devraient être configurés pour analyser les chaînes de redirection et bloquer les scénarios dans lesquels des domaines fiables redirigent vers des destinations non fiables. Les équipes de sécurité devraient éviter de se fier uniquement au domaine initial lorsqu'elles évaluent la sécurité des liens.
La sensibilisation des utilisateurs reste essentielle. Les utilisateurs doivent être informés que les liens de marque Google ne sont pas intrinsèquement sûrs, que les courriels semblant provenir d'eux-mêmes doivent être traités avec prudence et que les liens de redirection peuvent dissimuler des pages d'hameçonnage.
Conclusion
L'analyse d'Integrity360 SOC confirme que l'abus de redirection Google représente l'une des techniques d'hameçonnage les plus efficaces et les plus persistantes actuellement utilisées. En combinant une infrastructure de confiance, une redirection dynamique et une ingénierie sociale sophistiquée, les attaquants sont en mesure de contourner les contrôles techniques et les défenses humaines.
Ce paysage de menaces renforce la nécessité de contrôles de sécurité multicouches, d'analyses comportementales, d'une formation continue des utilisateurs et de renseignements actualisés sur les menaces. Le SOC Integrity360 continue de surveiller activement ces campagnes et d'aider les clients à identifier, atténuer et répondre à cette menace en constante évolution.
