Logo Zéphyrnet

Le phishing Facebook 2FA arrive seulement 28 minutes après la création du domaine frauduleux

Date :

Nous raconterons cette histoire principalement par le biais d'images, car une image vaut 1024 mots.

Ce cybercrime est un rappel visuel de trois choses :

  • Il est facile de tomber dans le piège d'une escroquerie par hameçonnage si vous êtes pressé.
  • Les cybercriminels ne perdent pas de temps lancer de nouvelles arnaques.
  • 2FA n'est pas une panacée en matière de cybersécurité, vous avez donc toujours besoin de votre intelligence.

Il était 19 minutes passées…

À 19 minutes après 3 heures, heure du Royaume-Uni aujourd'hui [2022-07-01T14:19:00.00Z], les criminels derrière cette arnaque ont enregistré un nom de domaine générique et irréprochable de la forme control-XXXXX.com, Où XXXXX était une chaîne de chiffres aléatoire, ressemblant à un numéro de séquence ou à un ID de serveur :

28 minutes plus tard, à 15 h 47, heure du Royaume-Uni, nous avons reçu un e-mail renvoyant à un serveur appelé facebook.control-XXXX.com, nous indiquant qu'il pourrait y avoir un problème avec l'une des Pages Facebook dont nous nous occupons :

Comme vous pouvez le voir, le lien dans l'e-mail, surligné en bleu par notre client de messagerie Outlook, semble aller directement et correctement au facebook.com domaine.

Mais cet e-mail n'est pas un e-mail en texte brut et ce lien n'est pas une chaîne en texte brut qui représente directement une URL.

Au lieu de cela, il s'agit d'un e-mail HTML contenant un lien HTML où le texte du lien ressemble à une URL, mais où le lien réel (connu sous le nom de href, court pour référence hypertexte) se rend sur la page de l'imposteur de l'escroc :

Par conséquent, le fait de cliquer sur un lien qui ressemblait à une URL Facebook nous a conduits sur le faux site de l'arnaqueur :

Hormis l'URL incorrecte, qui est masquée par le fait qu'elle commence par le texte facebook.contact, donc cela peut passer si vous êtes pressé, il n'y a pas d'erreurs d'orthographe ou de grammaire évidentes ici.

L'expérience et l'attention aux détails de Facebook signifient que l'entreprise n'aurait probablement pas laissé de côté l'espace avant les mots "Si vous pensez", et n'aurait pas utilisé le texte inhabituel ex abréger le mot "Exemple".

Mais nous sommes prêts à parier que certains d'entre vous n'auraient peut-être pas remarqué ces problèmes de toute façon, si nous ne les avions pas mentionnés ici.

Si vous deviez faire défiler vers le bas (ou si vous disposiez de plus d'espace que nous pour les captures d'écran), vous auriez peut-être repéré une faute de frappe plus loin, dans le contenu que les escrocs ont ajouté pour essayer de rendre la page utile.

Ou peut-être pas - nous avons mis en évidence la faute d'orthographe pour vous aider à la trouver :

Ensuite, les escrocs ont demandé notre mot de passe, qui ne ferait généralement pas partie de ce type de flux de travail de site Web, mais nous demander de nous authentifier n'est pas totalement déraisonnable :

Nous avons mis en surbrillance le message d'erreur "Mot de passe incorrect", qui apparaît tout ce que vous tapez, suivi d'une répétition de la page de mot de passe, qui accepte ensuite tout ce que vous tapez.

Il s'agit d'une astuce couramment utilisée de nos jours, et nous supposons que c'est parce qu'il y a encore un vieux conseil de cybersécurité fatigué qui dit : "Insérez délibérément le mauvais mot de passe la première fois, ce qui exposera instantanément les sites frauduleux parce qu'ils ne savent pas votre vrai mot de passe et ils seront donc obligés d'accepter le faux.

Pour être clair, cela n'a JAMAIS été un bon conseil, notamment lorsque vous êtes pressé, car il est facile de saisir un « mauvais » mot de passe inutilement similaire à votre vrai, comme remplacer pa55word! avec une chaîne telle que pa55pass! au lieu de penser à des choses sans rapport telles que 2dqRRpe9b.

De plus, comme cette astuce simple le montre clairement, si votre «précaution» consiste à faire attention à un échec apparent suivi d'un succès apparent, les escrocs viennent de vous bercer trivialement dans un faux sentiment de sécurité.

Nous avons également souligné que les escrocs ont également délibérément ajouté une case à cocher de consentement légèrement ennuyeuse, juste pour donner à l'expérience un vernis de formalité officielle.

Vous avez maintenant donné aux escrocs votre nom de compte et votre mot de passe…

… ils demandent immédiatement le code 2FA affiché par votre application d'authentification, ce qui donne théoriquement aux criminels entre 30 secondes et quelques minutes pour utiliser le code à usage unique lors d'une tentative de connexion frauduleuse à Facebook :

Même si vous n'utilisez pas d'application d'authentification, mais préférez recevoir des codes 2FA par SMS, les escrocs peuvent provoquer un SMS sur votre téléphone simplement en commençant à vous connecter avec votre mot de passe, puis en cliquant sur le bouton pour vous envoyer un code.

Enfin, dans une autre astuce courante de nos jours, les criminels adoucissent le démontage, pour ainsi dire, en vous redirigeant avec désinvolture vers une page Faceook légitime à la fin.

Cela donne l'impression que le processus s'est terminé sans aucun problème à craindre :

Que faire?

Ne tombez pas dans les escroqueries comme celle-ci.

  • N'utilisez pas de liens dans les e-mails pour accéder aux pages officielles « d'appel » sur les sites de médias sociaux. Apprenez vous-même où aller et conservez un enregistrement local (sur papier ou dans vos signets), de sorte que vous n'ayez jamais besoin d'utiliser des liens Web de messagerie, qu'ils soient authentiques ou non.
  • Vérifiez attentivement les URL des e-mails. Un lien avec du texte qui lui-même ressemble à une URL n'est pas nécessairement l'URL vers laquelle le lien vous dirige. Pour trouver le véritable lien de destination, survolez le lien avec votre souris (ou touchez et maintenez le lien sur votre téléphone mobile).
  • Vérifiez attentivement les noms de domaine des sites Web. Chaque caractère compte, et la partie commerciale de tout nom de serveur se trouve à la fin (le côté droit dans les langues européennes qui va de gauche à droite), pas au début. Si je possède le domaine dodgy.example alors je peux mettre n'importe quel nom de marque que j'aime au début, comme visa.dodgy.example or whitehouse.gov.dodgy.example. Ce sont simplement des sous-domaines de mon domaine frauduleux, et tout aussi indignes de confiance que n'importe quelle autre partie de dodgy.example.
  • Si le nom de domaine n'est pas clairement visible sur votre téléphone portable, envisagez d'attendre jusqu'à ce que vous puissiez utiliser un navigateur de bureau standard, qui dispose généralement de beaucoup plus d'espace à l'écran pour révéler le véritable emplacement d'une URL.
  • Envisagez un gestionnaire de mots de passe. Les gestionnaires de mots de passe associent les noms d'utilisateur et les mots de passe de connexion à des services et des URL spécifiques. Si vous vous retrouvez sur un site imposteur, aussi convaincant soit-il, votre gestionnaire de mots de passe ne sera pas dupe car il reconnaît le site par son URL, et non par son apparence.
  • Ne soyez pas pressé d'entrer votre code 2FA. Utilisez la perturbation de votre flux de travail (par exemple, le fait que vous devez déverrouiller votre téléphone pour accéder à l'application du générateur de code) comme raison de vérifier cette URL une seconde fois, juste pour être sûr, pour être sûr.

N'oubliez pas que les escrocs de phishing se déplacent très rapidement ces jours-ci afin de traire de nouveaux noms de domaine aussi rapidement qu'ils le peuvent.

Combattez leur hâte en prendre son temps.

Rappelez-vous ces deux dictons pratiques : Arrêter. Pense. Relier.

Et après vous être arrêté et avoir pensé : En cas de doute, ne le donnez pas.


spot_img

Dernières informations

spot_img