Phishing invisible sur Gmail : l’arnaque qui trompe l’IA de Google

Une campagne de phishing redoutable échappe aux radars de sécurité les plus avancés. Elle cible les utilisateurs Gmail avec un réalisme déroutant.

J’ai moi-même été confronté à cette arnaque. L’email semblait officiel, signé par « accounts.google.com », sans aucune alerte ni signal visuel inquiétant. Il utilisait l’adresse « no-reply@accounts.google.com » pour tromper les utilisateurs, et redirigeait vers une page hébergée sur Google Sites. À première vue, tout paraissait authentique.

L’attaque repose sur une faille logique. Les escrocs créent un compte Google, développent une application frauduleuse, puis utilisent cette appli pour envoyer un véritable email de sécurité généré par Google lui-même. Résultat : un message légitime… pour une intention malveillante.

La victime est incitée à cliquer sur des options apparemment anodines comme « afficher » ou « télécharger ». Ces boutons mènent en réalité à une fausse page de connexion, toujours hébergée sur Google Sites. Une fois les identifiants saisis, les pirates ont la voie libre.

Google, d’abord dans le déni, a fini par reconnaître le problème. Pourtant, les failles exploitables persistent, notamment via les scripts et intégrations permissives sur Google Sites.

Pour se prémunir, quelques gestes simples :

Vérifiez systématiquement l’adresse exacte de l’expéditeur.
Ne cliquez jamais directement sur un lien contenu dans un email suspect.
Survolez les liens pour inspecter leur véritable destination.
Refusez toute urgence imposée. L’urgence est le déguisement préféré des arnaqueurs.
Connectez-vous toujours manuellement à votre compte, sans passer par des liens email.

Et si vous avez cliqué ? Réagissez vite : changez immédiatement votre mot de passe, activez l’authentification à deux facteurs, examinez les activités récentes de votre compte et signalez le message dans Gmail.

Vos retours sont précieux. Avez-vous été ciblé par ce type d’arnaque ? Partagez votre expérience en commentaire.