Pour piéger leurs cibles, les campagnes de phishing (ou « hameçonnage ») ne manquent jamais d’ingéniosité. L’une des dernières en date, signalée par l’entreprise de sécurité informatique PhishLabs, vise spécifiquement les utilisateurs mobiles de Facebook.
Le procédé consiste à tirer profit du format d’affichage des URL sur les navigateurs mobiles. Les URL falsifiées indique en apparence la bonne adresse (« m.facebook.com ») mais s’accompagnent d’une longue série de tirets/traits d’union qui dissimulent à l’œil de l’utilisateur la véritable source de l’URL, une page détournée (comme « m.facebook.com—————-validate—-step1.rickytaylk[point]com/sign_in.html »). Crane Hassold, spécialiste en sécurité chez PhishLabs, la qualifie de technique de « remplissage d’URL ».
Une fois arrivé sur la page, l’utilisateur se retrouve face aux options d’identification de Facebook telles qu’il les trouverait sur le site officiel. Sa méfiance est donc doublement endormie lorsqu’il renseigne son identifiant et son mot de passe, sans se douter qu’il les livre ce faisant aux auteurs du phishing. Comme dans toute campagne virale, ceux-ci utilisent ensuite cet accès pour diffuser l’URL piégée auprès des contacts de la victime, et ainsi de suite.
Des liens piégés envoyés par SMS
Les premiers cas de cette campagne ont été repérés dès le mois de janvier, selon Crane Hassold : « Ça s’est accéléré en mars et ça reste très conséquent depuis. » Son entreprise a globalement constaté une hausse de 20 % des attaques de phishing sur le premier trimestre 2017 comparé aux 3 derniers mois de l’année 2016, alors qu’on a récemment constaté des attaques contre les utilisateurs de Google Docs ou à l’encontre du personnel du Pentagone sur Twitter et Facebook.
Si Facebook est particulièrement visé, cette technique de phishing vise d’autres sites qui nécessitent un mail et un mot de passe pour s’identifier, comme Apple ou Craigslist, ainsi que OfferUp, un site anglophone de petites annonces locales.
« Le problème des appareils mobiles c’est que même les personnes qui font normalement attention à la sécurité y opèrent différemment. En tant que groupe, nous avons pris l’habitude de consulter nos téléphones en permanence, et de naviguer ou de suivre des liens de manière bien plus apathique que nous le ferions sur un ordinateur » précise l’entreprise. Elle poursuit : « Il est très probable que ce soit envoyé par SMS plutôt que par mail », ce qui atténue encore la vigilance de l’utilisateur, qui ne se méfie pas d’un lien — non vérifiable sous sa forme « d’aperçu » — reçu par ce biais.
Si la campagne semble a priori principalement viser les utilisateurs anglophones, elle est facilement déclinable en France comme dans d’autres pays. Pour s’en prémunir, le mieux reste de privilégier l’utilisation de l’appli mobile Facebook (sans risque) ou de penser à consulter l’URL entière (en appuyant sur la barre de navigation) du lien en question sur votre navigateur mobile.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Marre des réseaux sociaux ? Rejoignez-nous sur WhatsApp !