Sur mobile, les utilisateurs mobiles de Facebook sont ciblés par une campagne de phishing. Elle consiste à leur envoyer par SMS un lien ressemblant à celui de la page d'accueil du réseau social grâce à un bourrage de l'URL mais qui leur permet en réalité de récupérer leurs identifiants.

Pour piéger leurs cibles, les campagnes de phishing (ou « hameçonnage ») ne manquent jamais d’ingéniosité. L’une des dernières en date, signalée par l’entreprise de sécurité informatique PhishLabs, vise spécifiquement les utilisateurs mobiles de Facebook.

Le procédé consiste à tirer profit du format d’affichage des URL sur les navigateurs mobiles. Les URL falsifiées indique en apparence la bonne adresse (« m.facebook.com ») mais s’accompagnent d’une longue série de tirets/traits d’union qui dissimulent à l’œil de l’utilisateur la véritable source de l’URL, une page détournée (comme « m.facebook.com—————-validate—-step1.rickytaylk[point]com/sign_in.html »). Crane Hassold, spécialiste en sécurité chez PhishLabs, la qualifie de technique de « remplissage d’URL ».

Une fois arrivé sur la page, l’utilisateur se retrouve face aux options d’identification de Facebook telles qu’il les trouverait sur le site officiel. Sa méfiance est donc doublement endormie lorsqu’il renseigne son identifiant et son mot de passe, sans se douter qu’il les livre ce faisant aux auteurs du phishing. Comme dans toute campagne virale, ceux-ci utilisent ensuite cet accès pour diffuser l’URL piégée auprès des contacts de la victime, et ainsi de suite.

phishing
CC Urbex Clan

Des liens piégés envoyés par SMS

Les premiers cas de cette campagne ont été repérés dès le mois de janvier, selon Crane Hassold : « Ça s’est accéléré en mars et ça reste très conséquent depuis. » Son entreprise a globalement constaté une hausse de 20 % des attaques de phishing sur le premier trimestre 2017 comparé aux 3 derniers mois de l’année 2016, alors qu’on a récemment constaté des attaques contre les utilisateurs de Google Docs ou à l’encontre du personnel du Pentagone sur Twitter et Facebook.

Si Facebook est particulièrement visé, cette technique de phishing vise d’autres sites qui nécessitent un mail et un mot de passe pour s’identifier, comme Apple ou Craigslist, ainsi que OfferUp, un site anglophone de petites annonces locales.

« Le problème des appareils mobiles c’est que même les personnes qui font normalement attention à la sécurité y opèrent différemment. En tant que groupe, nous avons pris l’habitude de consulter nos téléphones en permanence, et de naviguer ou de suivre des liens de manière bien plus apathique que nous le ferions sur un ordinateur » précise l’entreprise. Elle poursuit : « Il est très probable que ce soit envoyé par SMS plutôt que par mail », ce qui atténue encore la vigilance de l’utilisateur, qui ne se méfie pas d’un lien — non  vérifiable sous sa forme « d’aperçu » — reçu par ce biais.

Si la campagne semble a priori principalement viser les utilisateurs anglophones, elle est facilement déclinable en France comme dans d’autres pays. Pour s’en prémunir, le mieux reste de privilégier l’utilisation de l’appli mobile Facebook (sans risque) ou de penser à consulter l’URL entière (en appuyant sur la barre de navigation) du lien en question sur votre navigateur mobile.

Partager sur les réseaux sociaux