Note de l'éditeur : La note suivante présente une nouvelle campagne de phishing découverte par Kaspersky, qui détourne les notifications légitimes de Google Tasks pour voler des identifiants d'entreprise. Les attaquants se font passer pour des services de confiance, en utilisant le domaine @google.com et des indices internes à l'entreprise pour contourner les filtres standards et inciter les utilisateurs à agir rapidement. Les victimes sont invitées à cliquer sur un lien et à remplir un faux formulaire de vérification des employés, exposant des identifiants sensibles pouvant donner un accès non autorisé. Cet avis met en lumière l'évolution des tactiques des criminels pour exploiter des outils familiers et l'importance de la vigilance en environnement professionnel.
Points clés
Les attaquants abusent des notifications légitimes de Google Tasks pour voler des identifiants d'entreprise.
La campagne utilise le domaine fiable @google.com pour contourner les filtres et instaurer la confiance.
Les utilisateurs sont dirigés vers un faux formulaire de vérification des employés après avoir cliqué sur un lien.
Le social engineering repose sur l'urgence et l'apparence d'un processus interne pour réduire la vigilance.
Pourquoi cela est important
En exploitant des services familiers, la campagne profite de la confiance dans des outils quotidiens, augmentant la probabilité que les employés révèlent leurs identifiants. Cette méthode contourne de nombreux filtres de sécurité et souligne la nécessité de sensibilisation et de défenses en couches dans les organisations. L'incident montre pourquoi la formation, l'authentification multi-facteurs (MFA) et des processus de vérification robustes sont essentiels, car les attaquants continuent d'adapter leurs techniques aux plateformes légitimes.
Ce qu'il faut surveiller
Recherchez davantage de tentatives de phishing imitant des outils d'entreprise via des canaux de notification fiables.
Soyez vigilant face aux formulaires frauduleux demandant des identifiants d'entreprise et vérifiez les URL avant d'interagir.
Assurez-vous que la MFA et les mesures de sécurité du serveur de messagerie sont en place pour protéger les comptes.
Signalez toute activité suspecte à l'équipe informatique et mettez à jour les politiques de sécurité si nécessaire.
Divulgation : Le contenu ci-dessous est un communiqué de presse fourni par l'entreprise ou le représentant PR. Il est publié à titre informatif.
Kaspersky découvre une nouvelle campagne de phishing exploitant les notifications Google Tasks pour voler des identifiants d'entreprise
26 février 2026
Kaspersky a identifié une nouvelle campagne de phishing qui abuse des notifications légitimes de Google Tasks pour tromper les utilisateurs d'entreprise et leur faire révéler leurs identifiants de connexion. En utilisant le domaine de messagerie fiable @google.com et le système de notifications de Google, les attaquants contournent les filtres de sécurité traditionnels et exploitent la confiance des utilisateurs dans des services familiers.
Dans cette campagne, les victimes reçoivent une notification apparemment authentique de Google Tasks avec pour objet « Vous avez une nouvelle tâche ». Le message donne l'illusion que leur entreprise a adopté l'outil de gestion de tâches de Google, les pressant d'agir rapidement. La notification inclut souvent des éléments d'urgence, comme un drapeau de priorité élevée et une échéance serrée, pour inciter à une réponse immédiate.
Un email envoyé par les attaquants via Google Tasks
En cliquant sur le lien intégré, les utilisateurs sont dirigés vers un faux formulaire déguisé en page de « vérification des employés », où ils doivent saisir leurs identifiants d'entreprise sous prétexte de confirmer leur statut. Ces identifiants volés peuvent ensuite être utilisés pour un accès non autorisé aux systèmes de l'entreprise, pour le vol de données ou pour d'autres attaques.
« L'écosystème étendu de services de Google est exploité par des escrocs. La campagne avec Google Tasks s’inscrit dans une tendance plus large observée avant et se poursuivant en 2026, où les cybercriminels utilisent des plateformes légitimes pour diffuser des arnaques et du phishing. Les notifications provenant de domaines légitimes échappent naturellement à de nombreux filtres anti-spam et anti-phishing, tandis que l’aspect d’ingénierie sociale — faire croire qu’il s’agit d’un processus interne — réduit la vigilance des victimes », commente Roman Dedenok, expert anti-spam chez Kaspersky.
Lisez l’article sur cette tactique sur le blog de Kaspersky.
Pour contrer cette menace et d’autres similaires, Kaspersky recommande :
Traitez avec suspicion toute invitation non sollicitée provenant de n’importe quelle plateforme, même si elle semble provenir de sources fiables
Inspectez attentivement les URL avant de cliquer
Ne pas appeler les numéros de téléphone indiqués dans des emails suspects — si vous devez contacter le support d’un service, recherchez le numéro officiel sur le site web officiel
Signalez les emails suspects à l’opérateur de la plateforme et utilisez l’authentification multi-facteurs pour tous les comptes
Pour les utilisateurs d’entreprise, Kaspersky Security for Mail Server, avec ses mécanismes de défense multicouches alimentés par des algorithmes d’apprentissage automatique, offre une protection robuste contre une large gamme de menaces évolutives et assure la tranquillité d’esprit face aux risques cybernétiques croissants.
Pour les utilisateurs individuels, Kaspersky Premium propose des fonctionnalités anti-phishing alimentées par l’IA, conçues pour aider à éviter les attaques de phishing et renforcer la cybersécurité globale.
À propos de Kaspersky
Kaspersky est une société mondiale de cybersécurité et de protection de la vie privée numérique fondée en 1997. Avec plus d’un milliard d’appareils protégés à ce jour contre les cybermenaces émergentes et les attaques ciblées, l’expertise en renseignement sur les menaces et en sécurité de Kaspersky se transforme constamment en solutions et services innovants pour protéger les individus, les entreprises, les infrastructures critiques et les gouvernements à travers le monde. La gamme complète de sécurité de l’entreprise comprend la protection numérique de premier plan pour les appareils personnels, des produits et services de sécurité spécialisés pour les entreprises, ainsi que des solutions Cyber Immune pour lutter contre les menaces numériques sophistiquées et en évolution. Nous aidons des millions d’individus et près de 200 000 clients d’entreprise à protéger ce qui compte le plus pour eux. En savoir plus sur www.kaspersky.com.
Cet article a été initialement publié sous le titre « Kaspersky découvre une campagne de phishing Google Tasks pour voler des identifiants » sur Crypto Breaking News — votre source fiable pour l’actualité crypto, Bitcoin et blockchain.
