L’email a fait l’objet d’une petite discussion chez Humanoid, le groupe éditeur de Numerama/Cyberguerre, Frandroid et MadmoiZelle. « C’est sûrement un faux email, mais ça n’a pas l’air comme ça. Qu’en pensez-vous ? », écrit un des dirigeants aux personnes concernées par son contenu.
Reçu sur l’adresse email de contact de Frandroid, le message a pour objet « Facebook Copyright 521386 ». Passé outre les filtres plutôt exigeants de l’adresse professionnelle, il prétend (en anglais) que « notre page a violé les conditions d’utilisation » de Facebook. Une entreprise tierce aurait revendiqué la propriété d’un contenu — « comme une vidéo ou un fond sonore » — que nous aurions utilisé. Et si nous continuons à l’exploiter, l’email explique que nous pourrions perdre notre compte. La demande est plausible : Frandroid publie plusieurs vidéos par semaine, et a récemment renforcé sa présence sur les réseaux sociaux.
La prétendue autrice du message, « Pauline A. » de Facebook, nous propose une alternative : « si vous pensez que votre page a été signalée par erreur, vous pouvez faire appel en cliquant sur le lien ci-dessous ».
Le lien en question est un lien Facebook. Aucun subterfuge pour le dissimuler, aucune redirection en vue, il s’agit bien d’un lien facebook[.]com, vers le site officiel du réseau social. Quand Cyberguerre prend connaissance de la discussion interne, toutes les personnes consultées ont abondé : il s’agit bien d’un phishing. Si l’expéditeur s’affiche sous le nom Facebook, l’adresse email cachée est celle d’une entreprise inconnue, support@royofficial[.]com
Les menaces de l’email sont donc ignorées : « Veuillez noter que si nous ne recevons pas la procédure d’appel sous 24 heures, l’accès à votre compte pourrait être désactivé ». La ficelle de l’urgence est une des plus utilisées par les malfaiteurs. Si elle crée un vent de panique suffisant, le destinataire de l’email peut précipiter sa décision, et en oublier les vérifications essentielles.
Une vraie fausse page de Facebook
Justement, Cyberguerre a cliqué sur le lien pour retracer les subterfuges utilisés par les pirates, et les moyens de les détecter. Il envoie sur Facebook, et un message, toujours en anglais, s’affiche. « Case #31406393 », lit-on en titre. Juste en dessous se trouve un « C » rappelant le copyright, suivi de la mention « intellectual infringement » (autrement dit, « violation de propriété intellectuelle ») et de la date du message, jeudi 10 décembre.
Le message, succinct, indique le nom de l’entreprise qui revendiquerait les droits, ici « Universal Publishing Group », son adresse, et quel contenu nos confrères de Frandroid auraient utilisé à tort sans autorisation. Étonnamment, cette publication répète en bonne partie le contenu de l’email… et incite à nouveau à cliquer sur un lien pour faire appel de la décision.
Les malfrats ont réalisé une manipulation astucieuse. Ils ont écrit une adresse Facebook https://facebook[.]com/copyright/100921299743 mais lui ont accolé un lien bit.ly. Nous pouvons faire de même dans cet article, regardez : https//facebook.com/voila. Expliqué ainsi, le subterfuge paraît évident, mais une erreur d’inattention suffit aux malfaiteurs.
Avant de cliquer sur le lien bit.ly dont on se doute du caractère frauduleux, nous regardons la page Facebook de plus près. C’est en réalité une « note » — un format de message de Facebook — publiée depuis la page « Intellectual Infringement », qui affiche en photo de profil le logo « C » du copyright.
Cette dernière semble avoir été créée pour la supercherie, et compte zéro abonné. Les pirates ont simplement trouvé comment détourner les paramètres du format pour le faire apparaître comme un message officiel. Utiliser un lien Facebook officiel dans leur email leur permet d’échapper à de nombreux filtres antispam, et donc à augmenter leur nombre potentiel de victimes.
Désolé vous devez vous reconnecter pour finir votre message
Sans surprise, le faux lien Facebook nous envoie vers un faux site Facebook, identifiable à la simple vue de son adresse suspecte : https://958192839[.]61231232[.]club/appeal/checkpoint[.]php. Un autre détail attire l’attention : l’habillage correspond à celui de l’ancien Facebook, et non à celui que nous venons tout juste de quitter. La page nous propose le fameux formulaire d’appel dont nous parlent les malfaiteurs depuis le début de l’arnaque. Il suggère de renseigner l’adresse liée au compte, notre nom et éventuellement des informations complémentaires.
Alors que nous remplissons ces informations, l’apparition d’une fenêtre nous interrompt. « Pour votre sécurité vous devez à nouveau entrer votre mot de passe », exige-t-elle. Une fois le mot de passe entré, il nous est demandé d’indiquer le code à 6 chiffres de la double authentification. Après avoir renseigné un numéro aléatoire, le phishing nous envoie vers le vrai centre d’aide de Facebook.
L’objectif des pirates était donc de pirater la page Facebook de Frandroid. Ils auraient pu revendre les identifiants ou s’en servir pour diffuser une arnaque au Bitcoin en profitant de la réputation et de l’audience du média. Reste que ce phishing a probablement été envoyé à un large nombre de cibles, et était relativement facile à déjouer. C’est une bonne piqûre de rappel, à l’heure où d’autres médias comme Ouest-France sont ciblés (avec succès) par de virulents malwares, les rançongiciels.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Marre des réseaux sociaux ? Rejoignez-nous sur WhatsApp !