D’après notre classement trimestriel Phishers' Favorites, Facebook est la marque la plus usurpée dans des attaques de phishing pour le deuxième trimestre consécutif. Avec 2,6 milliards d’utilisateurs actifs, le réseau constitue en effet une cible de choix pour les cybercriminels. Par ailleurs, sa frénésie d’activité dans divers domaines, qu’il s’agisse de l’acquisition d’applications de médias sociaux ou de son entrée sur le marché de la réalité virtuelle, a encore dopé son intérêt.
Pourquoi Facebook ?
Les réseaux sociaux regorgent de victimes potentielles. Ces plateformes hébergent des milliards de noms d’utilisateurs, mots de passe, données personnelles et informations financières fournies volontairement par nous-mêmes, leurs utilisateurs. Mais à la différence des autres, Facebook est un véritable géant : qu’on l’apprécie ou non, nous avons presque tous créé un compte sur le réseau à un moment ou à un autre, même si nous ne le crions pas sur les toits.
La base d’utilisateurs n’est que l’un des facteurs expliquant l’attrait de Facebook pour les hackers. Son périmètre est lui aussi gigantesque : fin 2019, Facebook possédait les quatre applications les plus téléchargées au monde, à savoir Facebook, Messenger, WhatsApp et Instagram. Cette omniprésence a valu au réseau d’être notamment qualifié de « monopole des données ».
En plus de toutes ces données lucratives, Facebook propose son API Facebook Login, qui permet de connecter des applications tierces à ses comptes. Si les utilisateurs à l’aise avec l’informatique peuvent garder un œil sur les applications connectées à leurs comptes Facebook et même les supprimer lorsqu’elles ne sont plus utiles, il est probable qu’un internaute lambda n’ait aucune idée du nombre d’applications qu’il utilise, ni des données qu’il partage librement avec Facebook et les éditeurs de ces applications. Ainsi, lorsque ces tiers sont hackés, les données des utilisateurs Facebook sont exploitées pour lancer des attaques de phishing sur le réseau.
Types classiques de phishing Facebook
La meilleure façon de convaincre un utilisateur de cliquer sur un lien de phishing consiste à lui faire peur ou à l’attirer. Les tentatives de phishing liées à Facebook ont tendance à suivre ces principes de base. Mais plus important qu’un email convaincant, le hacker doit aussi créer une page de phishing efficace, ce qui ne semble pas être un problème : au 1er trimestre 2020, Vade a ainsi détecté pas moins de 3 733 URL de phishing Facebook uniques, ainsi qu’un nombre bien supérieur d’emails de phishing semblant provenir du réseau social.
Les emails de phishing ciblant Facebook vont des alertes de sécurité aux demandes de réinitialisation du mot de passe, et la quasi-totalité d’entre eux cherche à dérober les identifiants de connexion au réseau. Voici quelques-unes des attaques de phishing que nous rencontrons fréquemment.
Confirmation du compte
Voir ses comptes bloqués sur les réseaux sociaux constitue la grande peur des utilisateurs assidus, et en particulier des influenceurs. Il est donc logique qu’il s’agisse d’une technique très populaire chez les hackers pour récolter des données. Dans l’exemple ci-dessous, la page de phishing informe l’utilisateur que son compte sera bloqué s’il ne met pas à jour (= divulgue) son mot de passe. Remarque : le hacker pose une question bonus (date de naissance) dont il pourra certainement faire bon usage à l’avenir.
Avertissement d’utilisation inappropriée du compte
Autre tentative visant à faire croire au bocage du compte, cette attaque avertit les utilisateurs que leur page fait l’objet d’un signalement pour utilisation abusive et ne respecte pas les conditions d’utilisation de Facebook. Pour prouver que la page Facebook en question est bien la leur, les utilisateurs doivent saisir leurs identifiants sur cette page de phishing, très convaincante.
Récupération des informations de carte bancaire
Les techniques ci-dessus visaient à s’emparer d’informations de compte. Celle-ci a un objectif différent : récupérer des données financières. Encore une fois, elle joue la carte du risque de fermeture du compte pour piéger sa victime. L’utilisateur reçoit un email l’informant que son compte sera définitivement bloqué s’il ne met pas à jour ses informations de carte bancaire. Truffé d’erreurs de grammaire, cet email n’est que peu convaincant. Le hacker espère que sous le coup de l’émotion, principal moteur de nombreuses erreurs, l’utilisateur n’y verra que du feu.
Pourquoi le phishing lié à Facebook pose un vrai danger pour les PME
À la différence des attaques de phishing se faisant passer pour des marques comme Microsoft et PayPal, le phishing Facebook est perçu comme une menace pour le grand public et non pour les entreprises. Un email de phishing Facebook a en effet peu de chance d’être envoyé à l’adresse email professionnelle d’un employé : sa boîte aux lettres personnelle a plus de chances d’être concernée. Pourtant, la nature connectée de Facebook et d’autres plateformes de médias sociaux signifie que de nombreux hackers sont déjà là.
Dans le cadre d’une attaque en plusieurs étapes, le hacker parvient à accéder au compte d’un utilisateur par le biais d’un email de phishing, et lance ensuite d’autres attaques, généralement sous la forme d’emails de phishing et de spear phishing, depuis un compte compromis. Les employés qui utilisent les médias sociaux, en particulier Facebook, depuis leurs ordinateurs professionnels risquent ainsi d’être victimes de phishing, que ce soit par le biais de messages privés envoyés depuis des comptes compromis ou par des liens placés dans des mises à jour du statut. Dans ce type d’attaque, les hackers se font passer pour des relations et poussent les utilisateurs à cliquer sur des liens de phishing pouvant entraîner le téléchargement d’un malware ou d’un ransomware sur leur ordinateur professionnel. Dans d’autres cas, les hackers peuvent simplement s’intéresser aux identifiants. 2 internautes sur 3 admettant réutiliser leurs mots de passe, il y a des chances pour qu’un mot de passe divulgué par un employé via une page de phishing Facebook corresponde à l’un des mots de passe qu’il utilise dans votre entreprise.
Enfin, la nature personnelle de Facebook fait courir aux utilisateurs un risque d’attaques hautement personnalisées. Les amateurs de Facebook qui partagent des informations personnelles ou professionnelles révèlent tout ce qu’un hacker a besoin de savoir les concernant pour leur envoyer des messages personnalisés et récupérer ainsi toujours plus de données sensibles et d’identifiants.
Protection contre le phishing
Pour protéger votre entreprise et vos utilisateurs du phishing, vous devez faire preuve de vigilance en matière de cybersécurité et mettre en place une technologie antiphishing. Les attaques sont désormais très sophistiquées, et les emails de phishing que nous observons sont conçus pour contourner les filtres de messagerie. Les utilisateurs doivent être formés pour repérer les emails de phishing, et cette formation doit être répétée chaque fois qu’ils cliquent sur des liens de phishing.
Enfin, les hackers peuvent découvrir quel filtre de messagerie vous utilisez en effectuant une recherche de l’enregistrement MX et adapter leurs emails en fonction. Une solution anti-phishing ne nécessitant pas de modification des enregistrements MX ne peut en revanche pas être identifiée par les hackers. Ainsi, ils ne sont pas en mesure d’affiner leurs attaques.
