Alerte sur arnaque aux tâches : Une nouvelle vague de fraudes exploite les notifications de Google Tasks contre les identifiants d'entreprise

Une nouvelle campagne de phishing sophistiquée a été récemment identifiée, exploitant le service Google Tasks, un outil largement fiable en entreprise. Dans cette arnaque, des cybercriminels prennent le contrôle des notifications légitimes de cette plateforme pour tromper les employés et leur faire révéler leurs identifiants d’accès, mettant en danger les systèmes internes des entreprises. Kaspersky, leader mondial en cybersécurité, a découvert cette fraude qui abuse du domaine officiel @google.com pour contourner les filtres de sécurité traditionnels.

Comment fonctionne l’arnaque Task Scam : Exploiter la confiance dans les outils légitimes

L’arnaque suit une structure claire et calculée. Les attaquants envoient des notifications semblant provenir de Google Tasks, avec le message « Vous avez une nouvelle tâche » en sujet. Le contenu est trompeusement réaliste, simulant une adoption par l’organisation de la victime du système de gestion de tâches de Google comme outil officiel.

Pour renforcer le sentiment d’urgence, les criminels incluent des indicateurs de haute priorité et des délais serrés dans les notifications, exerçant une pression psychologique qui réduit la capacité de réflexion critique du salarié. Lorsqu’un utilisateur clique sur le lien dans ce message frauduleux, il est dirigé vers une page factice déguisée en formulaire de « vérification de l’employé ».

Ce faux formulaire demande à l’utilisateur de remplir ses identifiants professionnels sous prétexte de confirmer son statut dans l’entreprise. Une fois ces informations capturées, elles deviennent une porte d’entrée pour un accès non autorisé aux serveurs, le vol de données sensibles et d’éventuelles attaques en chaîne contre l’infrastructure de l’entreprise.

Ingénierie sociale à l’ère du Task Scam : Pourquoi les employés tombent dans le piège

Le succès du task scam réside dans sa manipulation intelligente de l’ingénierie sociale. Contrairement au phishing classique, cette arnaque exploite la familiarité totale des utilisateurs avec l’écosystème Google. Étant donné que beaucoup de collaborateurs utilisent déjà Gmail, Google Drive et d’autres outils du géant technologique, leur instinct naturel est de faire confiance aux notifications provenant du domaine @google.com.

Kaspersky note que, comme ces notifications proviennent de domaines légitimes, elles franchissent souvent les filtres anti-spam et de détection de phishing traditionnels. Le criminel complète cette tactique en insérant des éléments qui semblent appartenir aux processus internes de l’entreprise — langage spécifique, formats connus, voire références à des politiques internes — ce qui réduit considérablement la méfiance de la victime.

Roman Dedenok, expert anti-spam chez Kaspersky, commente : « L’ingénierie sociale derrière le task scam exploite la rapidité des entreprises modernes et la confiance dans les services cloud établis. Faire passer cela pour un processus interne est particulièrement efficace car cela supprime le sens critique des employés à ce moment-là. »

Protection contre le Task Scam : Stratégies essentielles de sécurité d’entreprise

Face à cette menace en évolution, les organisations doivent mettre en place plusieurs couches de défense. Tout d’abord, toute invitation ou notification non sollicitée doit être traitée avec une extrême suspicion, quelle que soit son apparence de légitimité. Les collaborateurs doivent vérifier minutieusement les URL avant de cliquer, afin d’éviter d’être redirigés vers des pages frauduleuses.

Une pratique essentielle consiste à ne jamais appeler les numéros de téléphone fournis dans des emails suspects ; si un contact est nécessaire, il faut privilégier le numéro officiel indiqué sur le site de l’entreprise. Toute activité suspecte doit être immédiatement signalée au service informatique et au fournisseur de la plateforme.

Au niveau de l’entreprise, l’authentification multifactorielle (MFA) sur tous les comptes constitue un bouclier précieux, rendant beaucoup plus difficile pour les criminels d’exploiter des identifiants compromis. Les politiques de sécurité doivent être régulièrement mises à jour pour refléter ces nouvelles tactiques.

Solutions spécialisées contre le Task Scam

Pour protéger les utilisateurs en entreprise, Kaspersky propose des solutions telles que Kaspersky Security for Mail Server, qui déploie des mécanismes de défense en plusieurs couches alimentés par des algorithmes d’apprentissage automatique. Ces systèmes peuvent détecter des comportements suspects et du phishing même lorsque les attaques parviennent à contourner les filtres traditionnels.

Pour les utilisateurs individuels, Kaspersky Premium offre des fonctionnalités anti-phishing basées sur l’intelligence artificielle, conçues spécifiquement pour aider à éviter des attaques comme le task scam et renforcer la cybersécurité globale.

Le contexte plus large montre que les criminels continuent d’exploiter des plateformes légitimes comme vecteurs de fraude. Le task scam n’est qu’un exemple de cette tendance qui s’intensifie en 2026, où les cybercriminels recyclent et adaptent leurs tactiques pour abuser des écosystèmes de confiance que des milliards de personnes utilisent quotidiennement.