Une campagne de phishing envoyée sur la messagerie de Facebook de certaines pages vise à dérober des identifiants de connexion au réseau social. Pour y parvenir, les pirates se font passer pour les équipes... de Facebook.

« D’habitude, je ne reçois pas beaucoup de spam sur Facebook. C’est le premier que je reçois en 2020 et surtout la première tentative de phishing », s’étonne Jonathan Chan, community manager (CM) de Dentsu France et iProspect. C’est dans la boîte de réception de la page Facebook de son employeur qu’il a reçu un étonnant avertissement écrit en anglais, traduit ici par Cyberguerre :  «  Bonjour, nous devons vous informer que votre page a été signalée pour activité inhabituelle et illégale, votre page va donc être supprimée de manière permanente.  »

Envoyé par un compte appelé « Page Flagged » (page signalée), le message est signé par « l’équipe de sécurité de Facebook ». Un second message à la suite ajoute qu’un représentant de Facebook le contactera sous peu pour discuter de la situation.

Le message de phishing n’a pas été filtré par l’antispam de Facebook, et a atterri dans la boîte de réception de l’entreprise. // Source : Remerciements Jonathan Chan

Heureusement, il est précisé qu’une procédure existe faire appel sur ce signalement : il suffit de cliquer sur un lien vers un prétendu formulaire de réclamation. Étalée sur deux lignes, l’adresse du formulaire commence par « https://facebook.com » et termine par des mots-clés attendus comme « page », « signalé » et « appel ».

Par hasard ou non, cet étrange message est arrivé le lendemain de la fin d’une campagne de publicité lancée par Jonathan deux semaines plus tôt avec Facebook Ads, l’outil publicitaire du réseau social. Le CM s’est inquiété de cette corrélation chronologique, et il a donc cliqué sur le lien pour vérifier l’authenticité de la procédure.

C’est alors qu’il s’est rendu compte de la supercherie.

Les pirates jouent habilement avec l’URL de leur site

Avec plus de 50 000 abonnés, la page de iProspect, que gère Jonathan Chan, a de quoi attirer l’intérêt de pirates. S’ils parvenaient à s’en emparer, ils pourraient l’utiliser pour diffuser leur phishing à des milliers de personnes. Mieux, ils profiteraient de la réputation de l’entreprise pour augmenter les chances que leurs cibles mordent à l’escroquerie.

Lorsqu’il a cliqué sur le lien, le CM a été redirigé sur une page de phishing que Cyberguerre a pu consulter. Elle reprend la charte graphique de Facebook for Business, le versant professionnel du réseau social. À peine quelques secondes après avoir ouvert la page, un message apparaît pour nous indiquer qu’il faut « se connecter » pour remplir le formulaire, et nous renvoie vers une copie de la page d’identification de Facebook. Elle utilise la mise en page de l’ancienne version de Facebook, mais puisque les utilisateurs ne disposent pas tous de la même version, ce détail ne saute pas aux yeux.

Voici la page créée par les pirates pour voler les identifiants Facebook. // Source : Capture d’écran Numerama

Avant de rentrer nos identifiants, nous regardons de plus près l’URL : malgré qu’elle commence par « facebook.com », elle n’est pas liée au réseau social. Pour créer cet effet visuel, les pirates ont créé un sous-domaine « facebook » du nom de domaine « com-208746513503510.top » qui leur appartient. C’est une séparation simple à faire, qui permet, de le plus souvent, de distinguer plusieurs services dépendants d’un même site : par exemple cyberguerre.numerama.com est un sous-domaine de numerama.com.

À cause de ce stratagème, les victimes des pirates lisent « facebook.com », arrêtent leur lecture de l’URL aux chiffres, et n’aperçoivent pas le « .top » en queue d’adresse.

À la chasse des identifiants nécessaires pour se connecter à votre page Facebook

Nous continuons tout de même à creuser le schéma du phishing. En plus des identifiants, les pirates demandent de rentrer le code à 6 chiffres de la double authentification, pour s’assurer d’avoir accès à tous les comptes, même les mieux protégés. Si vous avez donné vos informations à ce stade du phishing, dépêchez-vous de changer vos mots de passe.

Une fois cette fausse authentification terminée, nous sommes redirigés vers la page que nous avions entrevue en cliquant le premier lien. Elle doit contenir le fameux formulaire censé empêcher la fermeture de notre compte.

Les pirates n’ont pas besoin de demander le mot de passe : ils le possèdent déjà. // Source : Capture d’écran Cyberguerre

Le message commence par une question à choix multiples à propos de Facebook Ads : « Quels sont les problèmes que vous rencontrez le plus souvent sur Facebook ? ». Deux réponses, « compte publicitaire désactivé » et « restrictions commerciales » s’appliquent à notre prétendu cas. Puis le formulaire nous demande d’entrer notre nom complet, notre adresse email, notre date de naissance et les URL de notre profil et de notre page. En revanche, le formulaire ne demande pas le mot de passe, pour deux raisons : cette demande pourrait éveiller les soupçons des victimes, et surtout, les pirates l’ont déjà obtenu lorsque nous nous sommes « connectés » sur leur faux portail de connexion.

Une fois tous les champs remplis, nous validons. À ce stade, les pirates ont largement assez d’informations pour s’emparer de tout ce que nous avons sur le réseau social. Nous sommes ensuite redirigés vers les vraies pages d’aide de Facebook, en français cette fois. Un encart pop-up s’adresse à nous : « Merci d’avoir contacté Facebook. Vous devriez bientôt recevoir une réponse par email. Vous serez peut-être invité(e) à y répondre avant que nous ne puissions vous aider ». Cela signifie que les malfaiteurs parviennent à envoyer les bonnes requêtes au site de Facebook pour que ce vrai message (plutôt) rassurant apparaisse. Mais en aucun cas Facebook n’a validé le formulaire que nous venons de remplir.

Le chemin du phishing se termine sur une vraie page de Facebook. // Source : Capture d’écran Cyberguerre.

Jonathan a reçu ce phishing le mercredi 13 octobre. Dès le lendemain à 10 heures, lorsque nous avons essayé de les consulter, le lien de phishing et le compte d’envoi étaient neutralisés. Le site était quant à lui encore en ligne, mais clairement identifié comme phishing sur les différents navigateurs (Chrome, Firefox, Safari) que nous avons essayé. Et dès le début d’après-midi, il était passé hors ligne.

Malgré cette grande réactivité de la part de Facebook et des différents acteurs impliqués pour le neutraliser, le phishing pourrait faire à nouveau surface à une nouvelle adresse, à partir d’un nouveau compte Facebook. Soyez donc attention à tout message un soi peu étrange.

Partager sur les réseaux sociaux