Une campagne de phishing envoyée sur la messagerie de Facebook de certaines pages vise à dérober des identifiants de connexion au réseau social. Pour y parvenir, les pirates se font passer pour les équipes… de Facebook.

« D’habitude, je ne reçois pas beaucoup de spam sur Facebook. C’est le premier que je reçois en 2020 et surtout la première tentative de phishing », s’étonne Jonathan Chan, community manager (CM) de Dentsu France et iProspect. C’est dans la boîte de réception de la page Facebook de son employeur qu’il a reçu un étonnant avertissement écrit en anglais, traduit ici par Cyberguerre :  «  Bonjour, nous devons vous informer que votre page a été signalée pour activité inhabituelle et illégale, votre page va donc être supprimée de manière permanente.  »

Envoyé par un compte appelé « Page Flagged » (page signalée), le message est signé par « l’équipe de sécurité de Facebook ». Un second message à la suite ajoute qu’un représentant de Facebook le contactera sous peu pour discuter de la situation.

Heureusement, il est précisé qu’une procédure existe faire appel sur ce signalement : il suffit de cliquer sur un lien vers un prétendu formulaire de réclamation. Étalée sur deux lignes, l’adresse du formulaire commence par « https://facebook.com » et termine par des mots-clés attendus comme « page », « signalé » et « appel ».

Par hasard ou non, cet étrange message est arrivé le lendemain de la fin d’une campagne de publicité lancée par Jonathan deux semaines plus tôt avec Facebook Ads, l’outil publicitaire du réseau social. Le CM s’est inquiété de cette corrélation chronologique, et il a donc cliqué sur le lien pour vérifier l’authenticité de la procédure.

Avec plus de 50 000 abonnés, la page de iProspect, que gère Jonathan Chan, a de quoi attirer l’intérêt de pirates. S’ils parvenaient à s’en emparer, ils pourraient l’utiliser pour diffuser leur phishing à des milliers de personnes. Mieux, ils profiteraient de la réputation de l’entreprise pour augmenter les chances que leurs cibles mordent à l’escroquerie.

Lorsqu’il a cliqué sur le lien, le CM a été redirigé sur une page de phishing que Cyberguerre a pu consulter. Elle reprend la charte graphique de Facebook for Business, le versant professionnel du réseau social. À peine quelques secondes après avoir ouvert la page, un message apparaît pour nous indiquer qu’il faut « se connecter » pour remplir le formulaire, et nous renvoie vers une copie de la page d’identification de Facebook. Elle utilise la mise en page de l’ancienne version de Facebook, mais puisque les utilisateurs ne disposent pas tous de la même version, ce détail ne saute pas aux yeux.

Avant de rentrer nos identifiants, nous regardons de plus près l’URL : malgré qu’elle commence par « facebook.com », elle n’est pas liée au réseau social. Pour créer cet effet visuel, les pirates ont créé un sous-domaine « facebook » du nom de domaine « com-208746513503510.top » qui leur appartient. C’est une séparation simple à faire, qui permet, de le plus souvent, de distinguer plusieurs services dépendants d’un même site : par exemple cyberguerre.numerama.com est un sous-domaine de numerama.com.

À cause de ce stratagème, les victimes des pirates lisent « facebook.com », arrêtent leur lecture de l’URL aux chiffres, et n’aperçoivent pas le « .top » en queue d’adresse.

Nous continuons tout de même à creuser le schéma du phishing. En plus des identifiants, les pirates demandent de rentrer le code à 6 chiffres de la double authentification, pour s’assurer d’avoir accès à tous les comptes, même les mieux protégés. Si vous avez donné vos informations à ce stade du phishing, dépêchez-vous de changer vos mots de passe.

Une fois cette fausse authentification terminée, nous sommes redirigés vers la page que nous avions entrevue en cliquant le premier lien. Elle doit contenir le fameux formulaire censé empêcher la fermeture de notre compte.

Le message commence par une question à choix multiples à propos de Facebook Ads : « Quels sont les problèmes que vous rencontrez le plus souvent sur Facebook ? ». Deux réponses, « compte publicitaire désactivé » et « restrictions commerciales » s’appliquent à notre prétendu cas. Puis le formulaire nous demande d’entrer notre nom complet, notre adresse email, notre date de naissance et les URL de notre profil et de notre page. En revanche, le formulaire ne demande pas le mot de passe, pour deux raisons : cette demande pourrait éveiller les soupçons des victimes, et surtout, les pirates l’ont déjà obtenu lorsque nous nous sommes « connectés » sur leur faux portail de connexion.

Une fois tous les champs remplis, nous validons. À ce stade, les pirates ont largement assez d’informations pour s’emparer de tout ce que nous avons sur le réseau social. Nous sommes ensuite redirigés vers les vraies pages d’aide de Facebook, en français cette fois. Un encart pop-up s’adresse à nous : « Merci d’avoir contacté Facebook. Vous devriez bientôt recevoir une réponse par email. Vous serez peut-être invité(e) à y répondre avant que nous ne puissions vous aider ». Cela signifie que les malfaiteurs parviennent à envoyer les bonnes requêtes au site de Facebook pour que ce vrai message (plutôt) rassurant apparaisse. Mais en aucun cas Facebook n’a validé le formulaire que nous venons de remplir.

Jonathan a reçu ce phishing le mercredi 13 octobre. Dès le lendemain à 10 heures, lorsque nous avons essayé de les consulter, le lien de phishing et le compte d’envoi étaient neutralisés. Le site était quant à lui encore en ligne, mais clairement identifié comme phishing sur les différents navigateurs (Chrome, Firefox, Safari) que nous avons essayé. Et dès le début d’après-midi, il était passé hors ligne.

Malgré cette grande réactivité de la part de Facebook et des différents acteurs impliqués pour le neutraliser, le phishing pourrait faire à nouveau surface à une nouvelle adresse, à partir d’un nouveau compte Facebook. Soyez donc attention à tout message un soi peu étrange.

ExpressVPN, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. ExpressVPN ne conserve aucune trace de l’activité des utilisateurs. Son application de VPN, disponible sur ordinateur, mobile et routeur, est l’une des plus avancées du marché.

« Annuler la commande » de 900€ : une campagne de phishing massive cible les clients Darty

En cours (6 min) : Des pirates imitent Facebook sur Facebook pour s’emparer de pages Facebook

Si nous utilisons des cookies et retenons des données anonymisées, c’est pour nous aider à mieux faire notre travail de mesure d’audience, aider nos partenaires commerciaux à nous rémunérer et nos partenaires publicitaires à proposer des annonces qui vous correspondent. Bref, rien qui ne sort de notre activité de média.

Vous pouvez toutefois ajuster les paramètres vous concernant : vous ne verrez pas moins de pub sur Numerama, mais elles seront moins ciblées. En cliquant sur « J’accepte », vous acceptez l’utilisation par Numerama de cookies publicitaires et de mesure d’audience fine.

Afin de vous proposer du contenu de qualité, nos outils de mesure d’audience et notre régie publicitaire déposent des cookies et stockent ou accèdent à des données sur votre appareil. Ces données nous permettent de vous proposer un contenu et des publicités personnalisés. Ces services requièrent votre consentement pour collecter et utiliser vos données personnelles.

Source: https://cyberguerre.numerama.com/8264-des-pirates-imitent-facebook-sur-facebook-pour-semparer-de-pages-facebook.html

Facebook, Identifier

World news – FR – Des pirates imitent Facebook sur Facebook pour s’emparer de pages Facebook

En s’appuyant sur ses expertises dans les domaines du digital, des technologies et des process , CSS Engineering vous accompagne dans vos chantiers de transformation les plus ambitieux et vous aide à faire émerger de nouvelles idées, de nouvelles offres, de nouveaux modes de collaboration, de nouvelles manières de produire et de vendre.

CSS Engineering s’implique dans les projets de chaque client comme si c’était les siens. Nous croyons qu’une société de conseil devrait être plus que d’un conseiller. Nous nous mettons à la place de nos clients, pour aligner nos incitations à leurs objectifs, et collaborer pour débloquer le plein potentiel de leur entreprise. Cela établit des relations profondes et agréables.

Nos services:

  1. Création des sites web professionnels
  2. Hébergement web haute performance et illimité
  3. Vente et installation des caméras de vidéo surveillance
  4. Vente et installation des système de sécurité et d’alarme
  5. E-Marketing

Toutes nos réalisations ici https://www.css-engineering.com/en/works/

LEAVE A REPLY

Please enter your comment!
Please enter your name here