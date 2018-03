publié le 30/08/2017 à 08:01

Une campagne d'hameçonnage (phishing) particulièrement sophistiquée sévit depuis quelques jours sur la messagerie de Facebook. Elle a été repérée par les chercheurs en cybersécurité de l'entreprise Kaspersky Labs le 24 août et cible à la fois les ordinateurs évoluant sous macOS et Windows.



L'attaque, qui vise à installer un logiciel publicitaire, prend la forme d'un message envoyé par une connaissance ou un utilisateur inconnu les invitant à cliquer sur un lien pour visualiser une vidéo. Si elle clique sur le lien, la victime est redirigée vers une page plagiant l'interface de Google Docs et affichant un lecteur vidéo aux faux airs de YouTube.

Méfiez-vous de ce message sur Facebook Messenger Crédit : Kaspersky Labs

Un faux lecteur de vidéo sur une page Google Docs Crédit : Kaspersky Labs

L'attaque s'adapte à la configuration de la victime

En cliquant sur le média, l'utilisateur est renvoyé vers un site lui proposant l'installation d'un logiciel : une mise à jour de Flash Player pour un utilisateur de Safari sur Mac et une extension de Chrome pour un utilisateur de Google Chrome sous Windows. L'arnaque, pernicieuse, s'adapte au système d'exploitation et au navigateur de l'utilisateur grâce à différents outils, notamment en analysant ses cookies.

En cliquant sur la vidéo, l'utilisateur est invité à installer une fausse extension de Google Chrome sous Windows Crédit : Kaspersky Labs

Ou une fausse mise à jour de Flash Player sous Mac Crédit : Kaspersky Labs

Pas d'infection irréversible

Si l'utilisateur installe l'un de ces logiciels, son ordinateur sera infecté par un logiciel publicitaire (un adware). Au-delà du désagrément d'avoir à fermer des publicités intempestives, le potentiel de dangerosité du logiciel semble réduit. Selon David Jacoby, expert en cybersécurité de Kaspersky, il ne serait à l'origine d'aucune infection irréversible. En revanche, les chercheurs n'arrivent pas à déterminer la manière dont les pirates sont parvenus à diffuser les malware via l'application de chat Messenger. "Peut-être en utilisant des identifiants volés, en piratant des navigateurs ou en détournant des clics", supputent-ils.



Facebook a rapidement réagi et affirmé à Zdnet : "Si nous soupçonnons la présence d'un logiciel malveillant dans votre ordinateur, nous vous proposerons par le biais de nos partenaires de confiance une analyse anti-virus gratuite". La meilleure solution pour s'en prémunir reste de ne pas cliquer sur le lien et de vérifier la mise à jour de son antivirus. D'une manière générale, il est conseillé de ne jamais cliquer sur un lien ou installer un programme émanant d'une source inconnue sur Internet, où les campagnes frauduleuses sont légion.

Comment repérer une escroquerie au phishing ?

Contraction des mots "fishing" (pêche en français) et "phreaking" (terme désignant le piratage des lignes électroniques), le phishing est une technique dite de "hameçonnage" basée sur de faux mails ou messages de services populaires comme Messenger qui visent à collecter les données bancaires ou les mots de passe des clients ou à installer des logiciels malveillants. À partir de ces documents, les pirates peuvent ensuite se livrer à des usurpations d'identité et à des escroqueries ou dérober des données confidentielles.



Ces faux courriels se présentent souvent comme des courriers envoyés par une source sûre, comme le Trésor public ou les banques. Trompées par l'expéditeur supposé, les victimes fournissent souvent elles-mêmes leurs propres données personnelles. Une autre possibilité consiste à envoyer des SMS ou des mails malveillants en masse qui contiennent un lien permettant d'installer, sans le savoir, un logiciel pirate qui pourra récupérer les données personnelles des personnes ainsi trompées.



Il s'agit donc de surveiller les mails et leur contenu. Les courriels émanant d'une structure officielle (la banque, EDF, ou la caisse d'allocations familiales par exemple) ne demandent jamais à leurs clients de saisir leurs informations personnelles directement dans un mail mais depuis un site Internet crypté. Dans ce cas, un petit cadenas apparaît systématiquement à gauche de l'URL du site pour garantir la confidentialité des informations.

Veiller aux détails

Par ailleurs, en cas d'information importante, une banque ou un opérateur contacte généralement ses clients par courrier ou par téléphone. Les mails utilisés dans le cadre des tentatives d'escroqueries font souvent état de situations alarmistes et comportent des fautes d'orthographes ou de syntaxe laissant penser que le message a été rédigé par un logiciel de traduction automatique.



Dans certains cas de phishing, les victimes sont redirigées vers un faux site, qui ressemble comme deux gouttes d'eau au site officiel. Il faut alors vérifier que l'URL est bien la même que celle du site copié. En général, elle est beaucoup plus longue et compliquée et on peut remarquer que, dans le corps du mail, le texte affiché sous forme de lien ne correspond pas du tout au lien réel, dont l'adresse s'affiche lorsqu'on positionne le curseur dessus. Dans le cas de l'arnaque aux faux mails de la Cpam, on peut s'apercevoir que l'adresse de réclamation ne correspond pas à celle d'un organisme officiel puisqu'elle se termine en "gmail.com".