Cet email se fait passer pour Facebook et prétend que votre compte va être désactiver pour violation du droit de la propriété intellectuelle. Pour convaincre, il renvoie ses cibles vers le vrai site de Facebook.

L’email a fait l’objet d’une petite discussion chez Humanoid, le groupe éditeur de Numerama/Cyberguerre, Frandroid et MadmoiZelle. « C’est sûrement un faux email, mais ça n’a pas l’air comme ça. Qu’en pensez-vous ? », écrit un des dirigeants aux personnes concernées par son contenu.

Reçu sur l’adresse email de contact de Frandroid, le message a pour objet « Facebook Copyright 521386 ». Passé outre les filtres plutôt exigeants de l’adresse professionnelle, il prétend (en anglais) que «  notre page a violé les conditions d’utilisation » de Facebook. Une entreprise tierce aurait revendiqué la propriété d’un contenu — « comme une vidéo ou un fond sonore » — que nous aurions utilisé. Et si nous continuons à l’exploiter, l’email explique que nous pourrions perdre notre compte. La demande est plausible : Frandroid publie plusieurs vidéos par semaine, et a récemment renforcé sa présence sur les réseaux sociaux.

Voici le début de l’email de phishing reçu sur l’adresse contact de Frandroid. // Source : Capture Numerama

La prétendue autrice du message, « Pauline A. » de Facebook, nous propose une alternative : «  si vous pensez que votre page a été signalée par erreur, vous pouvez faire appel en cliquant sur le lien ci-dessous ».

Le lien en question est un lien Facebook. Aucun subterfuge pour le dissimuler, aucune redirection en vue, il s’agit bien d’un lien facebook[.]com, vers le site officiel du réseau social. Quand Cyberguerre prend connaissance de la discussion interne, toutes les personnes consultées ont abondé : il s’agit bien d’un phishing. Si l’expéditeur s’affiche sous le nom Facebook, l’adresse email cachée est celle d’une entreprise inconnue, support@royofficial[.]com

Les menaces de l’email sont donc ignorées : « Veuillez noter que si nous ne recevons pas la procédure d’appel sous 24 heures, l’accès à votre compte pourrait être désactivé ». La ficelle de l’urgence est une des plus utilisées par les malfaiteurs. Si elle crée un vent de panique suffisant, le destinataire de l’email peut précipiter sa décision, et en oublier les vérifications essentielles.

Une vraie fausse page de Facebook

Justement, Cyberguerre a cliqué sur le lien pour retracer les subterfuges utilisés par les pirates, et les moyens de les détecter. Il envoie sur Facebook, et un message, toujours en anglais, s’affiche. « Case #31406393 », lit-on en titre. Juste en dessous se trouve un « C » rappelant le copyright, suivi de la mention « intellectual infringement » (autrement dit, « violation de propriété intellectuelle ») et de la date du message, jeudi 10 décembre.

L’email de phishing commence… sur Facebook // Source : Capture d’écran Numerama

Le message, succinct, indique le nom de l’entreprise qui revendiquerait les droits, ici « Universal Publishing Group », son adresse, et quel contenu nos confrères de Frandroid auraient utilisé à tort sans autorisation. Étonnamment, cette publication répète en bonne partie le contenu de l’email… et incite à nouveau à cliquer sur un lien pour faire appel de la décision.

Les malfrats ont réalisé une manipulation astucieuse. Ils ont écrit une adresse Facebook https://facebook[.]com/copyright/100921299743 mais lui ont accolé un lien bit.ly. Nous pouvons faire de même dans cet article, regardez : https//facebook.com/voila. Expliqué ainsi, le subterfuge paraît évident, mais une erreur d’inattention suffit aux malfaiteurs.

Avant de cliquer sur le lien bit.ly dont on se doute du caractère frauduleux, nous regardons la page Facebook de plus près. C’est en réalité une « note » — un format de message de Facebook — publiée depuis la page « Intellectual Infringement », qui affiche en photo de profil le logo « C » du copyright.

Le message d’avertissement est en réalité une note publiée par un compte créé par les pirates. // Source : Capture d’écran Numerama

Cette dernière semble avoir été créée pour la supercherie, et compte zéro abonné. Les pirates ont simplement trouvé comment détourner les paramètres du format pour le faire apparaître comme un message officiel. Utiliser un lien Facebook officiel dans leur email leur permet d’échapper à de nombreux filtres antispam, et donc à augmenter leur nombre potentiel de victimes.

Désolé vous devez vous reconnecter pour finir votre message

Sans surprise, le faux lien Facebook nous envoie vers un faux site Facebook, identifiable à la simple vue de son adresse suspecte : https://958192839[.]61231232[.]club/appeal/checkpoint[.]php. Un autre détail attire l’attention : l’habillage correspond à celui de l’ancien Facebook, et non à celui que nous venons tout juste de quitter. La page nous propose le fameux formulaire d’appel dont nous parlent les malfaiteurs depuis le début de l’arnaque. Il suggère de renseigner l’adresse liée au compte, notre nom et éventuellement des informations complémentaires.

Un pop-up apparaît et nous demande de renseigner notre mot de passe. // Source : Capture Numerama

Alors que nous remplissons ces informations, l’apparition d’une fenêtre nous interrompt. « Pour votre sécurité vous devez à nouveau entrer votre mot de passe », exige-t-elle. Une fois le mot de passe entré, il nous est demandé d’indiquer le code à 6 chiffres de la double authentification. Après avoir renseigné un numéro aléatoire, le phishing nous envoie vers le vrai centre d’aide de Facebook.

L’objectif des pirates était donc de pirater la page Facebook de Frandroid. Ils auraient pu revendre les identifiants ou s’en servir pour diffuser une arnaque au Bitcoin en profitant de la réputation et de l’audience du média. Reste que ce phishing a probablement été envoyé à un large nombre de cibles, et était relativement facile à déjouer. C’est une bonne piqûre de rappel, à l’heure où d’autres médias comme Ouest-France sont ciblés (avec succès) par de virulents malwares, les rançongiciels.

Crédit photo de la une : The Social Network

À propos d'ExpressVPN

ExpressVPN, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. ExpressVPN ne conserve aucune trace de l'activité des utilisateurs. Son application de VPN, disponible sur ordinateur, mobile et routeur, est l'une des plus avancées du marché.

Plus d’informations sur la solution VPN d'ExpressVPN

Partager sur les réseaux sociaux