Escroqueries sur les réseaux sociaux

Quels sont les sites qui attirent le plus souvent les escrocs sur Internet? Ceux qui permettent de toucher en un seul coup le plus grand nombre d’utilisateurs et par conséquent, de générer un bénéfice maximal. Aujourd’hui, la grande majorité des internautes possède un compte sur au moins un réseau social, ce qui rend cette catégorie de sites particulièrement attrayante pour les cybercriminels. Facebook arrive en tête des sites les plus touchés : d’après les données récoltées par Kaspersky Lab en 2013, 22 % des alertes anti-phishing qui ont déclenché le module heuristique dédié de Kaspersky Lab concernaient des pages imitant le site Facebook.

Les réseaux sociaux très utiles aux hackeurs

A première vue, le vol de comptes sur les réseaux sociaux ne devrait pas intéresser les criminels car ils n’apportent pas directementš un bénéfice financier. Facebook ne sert pas à stocker de l’argent et les informations personnelles que nous y publions intéressent seulement nos amis et nos proches. Mais ce n’est que la partie émergée de l’iceberg. Dans la pratique, obtenir l’accès aux comptes d’utilisateurs de Facebook (ou de n’importe quel autre réseau social) peut être utile aux cybercriminels pour réaliser les opérations suivantes:

  • Diffusion de liens de phishing : L’utilisation de comptes réels pour des campagnes de phishing est plus efficace que le recours à des comptes robots créés spécialement à cette fin. En effet, la probabilité qu’un utilisateur clique, par exemple, sur un lien menant à une fausse page Web d’une banque est supérieure si ce message provient non pas d’un inconnu, mais d’un contact du réseau social.
  • Diffusion de programmes malveillants: A l’instar de ce qui se produit avec les liens de phishing, les utilisateurs des réseaux sociaux ont plus tendance à télécharger et à ouvrir des fichiers envoyés par leurs contacts sur Facebook.
  • Diffusion de messages non sollicités aux contacts de la victime: publication de messages non sollicités sur les murs des amis afin de les exposer à d’autres utilisateurs.
  • Extorsion de l’argent des amis du propriétaire du compte compromis: envoi de messages demandant de transférer une somme d’argent pour les raisons les plus diverses, par exemple un appel à l’aide.
  • Collecte d’informations sur des personnes en particulier: Ces informations peuvent ensuite être utilisées pour organiser des attaques ciblées, notamment des campagnes de hameçonnage.
  • Vente de comptes volés: Les escrocs vendent les comptes volés à d’autres cybercriminels qui utilisent à leur tour ces informations pour diffuser des messages non sollicités, des liens de phishing ou des programmes malveillants.

Dans la majorité des cas, les auteurs d’attaques de phishing choisissent cette dernière option et gagnent leur vie en vendant les données volées.

Statistiques

D’après les données du Kaspersky Security Network, plus de 35 % de l’ensemble des déclenchements du module heuristique du système Anti-Phishing chez les utilisateurs des produits Kaspersky Lab en 2013 ont été imputables à des pages de phishing qui imitaient les pages de réseaux sociaux. Cela représente plus de 600 millions d’incidents. Kaspersky lab a enregistré plus de 600 millions de tentatives d’accès de ses utilisateurs à des pages de phishing. Les déclenchements provoqués par des imitations de Facebook représentent 22 % des cas.

Le module heuristique du système Anti-Phishing se déclenche lorsque l’utilisateur clique sur un lien qui mène à une page de phishing et que les bases de Kaspersky Lab ne contiennent pas d’informations sur cette page. Et peu importe la manière dont la victime arrive sur la page : clic sur un lien dans un message de phishing, dans un message de réseau social ou encore, suite à l’action d’un programme malveillant. Après le déclenchement du module, un message relatif à la menace potentielle s’affiche dans le navigateur.


Répartition des déclenchements du module Anti-Phishing en 2013

Au début du 1er trimestre 2014, la situation a quelque peu changé et c’est Yahoo qui occupe la tête du classement des déclenchements. Ceci étant dit, Facebook demeure parmi les cibles privilégiées des auteurs d’attaques de phishing : au 1er trimestre 2014, les fausses pages de ce réseau social avaient provoqué 10,85 % de l’ensemble des déclenchements du module heuristique du système Anti-Phishing.

Chaque année, Kaspersky Lab enregistre plus 20 000 tentatives d’accès à des pages de phishing qui imitent Facebook.



Nombre de déclenchements quotidiens du module heuristique du système Anti-Phishing provoqués par de fausses pages Facebook.

Les volumes les plus élevés de déclenchements en un jour sont enregistrées aux Etats-Unis (1 500 à 7 500), au Canada (1 000 à 2 500) et en Allemagne (2 000 à 4 500). Cet indicateur est encore faible en Russie et il ne dépasse pas 1 000 par jour.

En 2103, 22 % des internautes en Inde avaient tenté d’accéder à des fausses pages Facebook. Ils étaient 14,56 % en France, 10,93 % aux Etats-Unis et 1,5 % en Russie.



Pourcentage d’utilisateurs tentant d’accéder à des pages de phishing Facebook en 2013 (sur le pourcentage total d’utilisateurs des produits de Kaspersky Lab dans ce pays).

Les pièges des hackeurs

Comment les visiteurs arrivent-il sur ces fausses pages? Les cybercriminels ont développé les moyens les plus divers pour attirer la victime sur la page de phishing. En règle générale, les individus malintentionnés diffusent les liens vers les pages de phishing d’une des manières suivantes:

  • Dans des messages qui imitent les notifications du réseau social. Ces messages sont envoyés par courrier électronique depuis des comptes de messagerie créés spécialement à cette fin.
  • Dans des messages diffusés par courrier électronique depuis des comptes de messagerie compromis à la liste des contacts. Par exemple, un message envoyé aux amis pour les inviter à visiter une page au contenu intéressant.
  • Dans des messages de réseau social envoyés depuis de faux comptes créés spécialement à cet effet ou depuis des comptes détournés.
  • Dans des messages sur des forums.
  • Dans des résultats de recherche.
  • Dans des bannières avec des images attrayantes ou dans des bannières présentées sous les traits de notifications d’un réseau social que les individus malintentionnés placent sur des ressources tierces.

La victime peut également se retrouver sur une page de phishing suite à l’infection de l’ordinateur ou d’un routeur par des programmes capables, par exemple, de modifier (ou de remplacer) le fichier hosts et de substituer le DNS ou de remplacer le contenu. Ces programmes sont particulièrement dangereux car ils redirigent l’utilisateur vers des pages de phishing après que la victime a cliqué sur des liens légitimes d’une organisation ciblée par les auteurs d’attaques de phishing.

C’est la raison pour laquelle il faut faire attention à la présence ou non d’une connexion protégée sur les pages ouvertes. Facebook utilise le protocole HTTPS pour le transfert de données. L’absence d’une connexion sécurisée, même si l’adresse de la page est correcte, indique que vous vous trouvez probablement sur un site d’escroquerie.

Ceci étant dit, même une adresse correcte avec une connexion sécurisée ne signifient pas toujours que la page affichée ne fait pas partie d’une escroquerie. En cas de doute, vérifiez si le certificat appartient à Facebook. Et soyez particulièrement attentif aux notifications du logiciel de protection de votre ordinateur.

Les faux e-mails

L’envoi de messages par courrier électronique figure parmi les méthodes préférées de diffusion de liens vers des pages de phishing. Ces messages envoyés par les cybercriminels contiennent rarement une formule de politesse précise et en général, ils imitent les notifications de Facebook relatives à la réception d’un nouveau message ou d’une demande d’ajout d’amis sur le réseau social. Une fois que la victime a cliqué sur le lien, elle se retrouve sur une page de phishing pour ouvrir une session. Une fois que l’utilisateur saisit les données sollicitées, celles-ci sont transmises aux escrocs et la victime est redirigée vers la véritable page d’ouverture de session de Facebook.

Les cybercriminels cherchent souvent à faire peur aux destinataires et pour ce faire, ils menacent de bloquer leur compte. Pour éviter cette situation, la victime est invitée à cliquer sur un lien dans le message et à saisir ses données dans la page qui s’ouvre. Ici, les escrocs misent sur la réaction émotionnelle du l’utilisateur qui va perturber son jugement.

Ci-dessous un exemple de fausse notification de Facebook qui signale la réception de nouvelles notifications dans ce réseau social. Si l’on prend la peine de placer le curseur sur le lien, on peut se rendre compte que ce dernier mène vers une adresse inconnue qui diffère de l’adresse officielle de Facebook. Il est intéressant de voir que dans ce message, les cybercriminels utilisent en guise de salutation une partie de l’adresse de messagerie électronique à laquelle le message a été envoyé.

Et voici un autre exemple de faux message. Cette fois-ci, en portugais. Le message avertit le destinataire du blocage prochain de son compte. Pour éviter cela, il doit cliquer sur un lien qui ouvrira prétendument une page de Facebook sur laquelle il devra saisir ses données. Ici aussi, le déplacement du curseur sur le lien permet de voir que celui-ci ne mène pas à Facebook, mais à un tout autre site.

Réseaux sociaux

Souvent, des messages de phishing sont diffusés à l’intérieur du réseau social depuis les comptes compromis d’amis de la victime potentielle. En général, ils contiennent des questions du genre "C’est toi sur la photo ?" et un lien vers la "photo". Quand l’utilisateur clique sur le lien, il arrive sur une fausse page d’ouverture de session sur Facebook qui contient un message standard : "Connectez-vous pour continuer". Si l’utilisateur baisse la garde et décide de saisir ses données, son nom d’utilisateur et son mot de passe sont envoyés aux cybercriminels.

Phénomène international

La popularité internationale du réseau social Facebook a incité les cybercriminels à créer de fausses pages en plusieurs langues : anglais, français, allemand, portugais, italien, turc, arable et autres.

Voici quelques exemples de ces fausses pages. Prêtez attention à la barre d’adresse : souvent les cybercriminels utilisent dans l’adresse de la page de phishing un mot qui ressemble à "Facebook". Il s’agit d’une astuce employée pour tenter de tromper les Internautes inexpérimentés et inattentifs. Parfois, l’adresse n’a rien à voir avec l’adresse de Facebook, même si le style de la page ressemble à celui du réseau social. Remarquez également l’absence de connexion protégée sur ces pages : ceci indique qu’il s’agit d’un site de phishing.



Exemples de pages de phishing qui imitent une page d’ouverture de session sur Facebook



Exemples de pages de phishing qui imitent la page d’ouverture de session principale de Facebook avec le formulaire de saisie des informations d’identification.

Comme vous le voyez, la mise en page des pages de phishing imite celle des pages d’inscription ou d’ouverture de session de Facebook. L’objectif des cybercriminels est clair : obtenir les données personnelles du visiteur dans le but de pouvoir accéder à son compte et de manipuler ce dernier.

Phishing mobile

Les utilisateurs de smartphones et de tablettes qui accèdent aux réseaux sociaux via leurs périphériques mobiles sont également exposés au risque de perte des données personnelles. Les cybercriminels créent des pages Web spéciales pour les navigateurs mobiles. Celles-ci ont la particularité d’imiter l’écran d’accès au compte via l’application Facebook.



Exemples de pages de phishing Facebook pour navigateurs mobiles

Souvent, les cybercriminels peuvent profiter du fait que certains navigateurs mobiles n’affichent pas la barre d’adresse lors de l’ouverture d’une page. Cette caractéristique complique l’identification de la fausse page.



Page de phishing avec ligne d’adresse masquée.

Les périphériques mobiles peuvent également être infectés par des programmes malveillants qui volent les données personnelles de leur propriétaire, notamment les informations d’identification pour les comptes de réseau social. Outre les programmes espions généralistes, il existe des programmes malveillants pour appareils mobiles spécialisés dans le vol de données uniquement en rapport avec les réseaux sociaux. Ainsi, un cheval de Troie mobile peut tout à fait remplacer la fenêtre de l’application Facebook officielle par sa version de phishing. Le risque de télécharger une application qui imite l’application mobile Facebook existe également.

Conclusion

Le manque d’attention des utilisateurs demeure l’arme principale des cybercriminels qui cherchent à détourner des comptes de réseaux sociaux. Les conseils de Kaspersky Lab:

  • En cas de réception par courrier électronique de notifications de Facebook, de messages évoquant le blocage du compte ou de n’importe quel autre message qui invitent à communiquer vos informations d’identification sur une page accessible via un lien repris dans le message ou dans un formulaire joint:
    • šNe saisissez pas vos données dans le formulaire. Facebook ne demandera jamais à ses utilisateurs de transmettre leur mot de passe par courrier.
    • šComparez l’adresse d’origine du message à l’adresse d’origine des notifications antérieures. Si l’adresse ne correspond pas à ce que vous attendiez, il s’agit probablement d’un cas de phishing. Mais même si l’adresse vous semble légitime, n’oubliez pas que les cybercriminels sont passés maîtres dans l’art de masquer l’adresse réelle de l’expéditeur.
    • šPlacez le curseur sur le lien dans le message et confirmez qu’il mène à Facebook. De plus, il est toujours préférable de saisir soi-même l’adresse du site dans le navigateur. Les individus malintentionnés sont très doués pour masquer l’adresse vers laquelle les liens mènent en réalité.
  • Si vous vous retrouvez sur la page d’une manière ou d’une autre (bannière, clic sur un lien dans un message, etc.), vérifiez si le contenu de la barre d’adresse correspond à l’adresse escomptée.
  • Lorsque vous saisissez vous-même l’adresse du site dans le navigateur, confirmez que l’adresse n’a pas été substituée après le chargement de la page.
  • Une fois que la page a été chargée, confirmez la présence d’une connexion sécurisée via le protocole HTTPS (recherchez pour ce faire la présence d’une icône en forme de cadenas dans la barre d’adresse du navigateur). L’absence d’une connexion sécurisée, même si l’adresse de la page est correcte, indique que vous vous trouvez probablement sur un site d’escroquerie.
  • Si vous commencez à recevoir des messages douteux de vos amis, contactez-les via un autre canal: il est plus que probable que leur compte de messagerie ou leur compte dans le réseau social a été détourné par des cybercriminels. Dans ce cas, vos amis devront changer de mot de passe le plus vite possible.

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *