Publié le 12 janvier 2024 à 14h01. Les escroqueries de phishing sur Facebook se perfectionnent, exploitant des infrastructures cloud légitimes et des techniques de tromperie visuelle pour dérober les identifiants des utilisateurs, alerte une nouvelle étude de la société de cybersécurité Trellix.
- Les attaquants utilisent une technique sophistiquée appelée « navigateur dans le navigateur » pour simuler des fenêtres de connexion Facebook authentiques.
- Ils hébergent leurs pages de phishing sur des plateformes cloud réputées comme Netlify et Vercel, contournant ainsi les filtres de sécurité traditionnels.
- L’authentification à deux facteurs et la prudence face aux liens suspects sont recommandées pour se protéger.
Les campagnes de phishing sur Facebook évoluent et deviennent de plus en plus difficiles à détecter, selon un rapport publié aujourd’hui par Trellix Inc. Les cybercriminels ne se contentent plus des e-mails de phishing classiques ou des fausses pages de connexion. Ils déploient désormais des méthodes plus avancées pour tromper les utilisateurs et accéder à leurs comptes.
La nouvelle technique, baptisée « navigateur dans le navigateur » (BitB), consiste à créer une fenêtre contextuelle de connexion qui imite à la perfection une invite d’authentification légitime de Facebook, directement dans l’onglet du navigateur de la victime. Cette fenêtre affiche une URL qui semble authentique, ce qui rend difficile pour les utilisateurs de distinguer la supercherie d’une véritable demande de connexion. Ainsi, les informations d’identification saisies sont en réalité collectées par les attaquants, et non envoyées aux serveurs de Meta Platforms Inc.
Ces attaques commencent souvent par des e-mails de phishing habilement conçus pour ressembler à des communications officielles, provenant par exemple de cabinets d’avocats ou de Meta. Ces messages alertent fréquemment les destinataires concernant des violations de droits d’auteur, des suspensions de compte ou des activités de connexion suspectes. Les victimes potentielles sont ensuite incitées à cliquer sur un lien qui les redirige vers la fausse fenêtre de connexion.
Une fois les identifiants en possession des attaquants, ils peuvent prendre le contrôle total du compte Facebook de la victime. Cela leur permet de propager d’autres escroqueries, de voler des données personnelles ou de commettre une fraude à l’identité.
Un aspect particulièrement préoccupant de cette campagne est que les attaquants évitent de recourir à des domaines malveillants. Ils préfèrent héberger leurs fausses pages de connexion et leurs simulations d’appels Facebook sur des services cloud légitimes tels que Netlify Inc. et Vercel Inc. En exploitant la réputation de ces fournisseurs et en masquant les liens grâce à des raccourcisseurs d’URL, ils parviennent à contourner de nombreux filtres de sécurité et à donner aux victimes un faux sentiment de sécurité.
Selon les chercheurs de Trellix, les attaquants demandent souvent aux utilisateurs de fournir des informations personnelles de base (nom, adresse e-mail, numéro de téléphone, date de naissance) avant de les inviter à saisir leur mot de passe Facebook, soi-disant pour effectuer un appel ou une vérification de sécurité. Cette approche progressive vise à renforcer l’authenticité perçue du processus et à augmenter les chances de succès du vol d’identifiants.
Les experts de Trellix mettent en garde contre l’escalade des tactiques de phishing représentée par ces attaques BitB. L’inspection visuelle seule ne suffit plus à garantir une protection efficace, car même les utilisateurs avertis peuvent avoir du mal à distinguer une fausse fenêtre de connexion d’une authentification légitime.
Pour se protéger, Trellix recommande vivement à tous les utilisateurs de Facebook d’activer l’authentification à deux facteurs sur leurs comptes, d’éviter de cliquer sur les liens contenus dans les e-mails non sollicités et d’accéder directement à Facebook.com ou à l’application mobile officielle pour vérifier tout problème lié à leur compte.
