Du "like-jacking" aux fausses applications... Bitdefender propose dans son livre blanc un tour d'horizon des principales arnaques qui menacent le réseau fondé par Marc Zuckerberg.
Sur 800 millions d'"amis" de Facebook, tous ne sont pas forcément très honnêtes. Grande popularité et réservoir incroyable d'utilisateurs obligent, "la manière dont les informations sont échangées et/ou protégées dans ce type d'environnement est devenue l'un des principaux enjeux de la sécurité des données", explique l'éditeur de solutions de sécurité BitDefender, qui a publié cette semaine un livre blanc sur les arnaques les plus répandues sur Facebook.
"LES MENACES SOCIALES DU NET"
Selon l'éditeur d'antivirus, les escrocs se basent essentiellement sur la curiosité des internautes et jouent sur le "capital confiance" qu'ils accordent à leurs contacts. Sachant qu'un utilisateur compte en moyenne 130 "amis" sur le réseau social, les utilisateurs malveillants s'assurent d'une diffusion exponentielle de leurs arnaques. Leurs escroqueries utilisent principalement quatre types d'attaques :
Le détournement du bouton "J'aime" ou "like-jacking"
Un lien, le plus souvent vidéo, au titre racoleur et un clic suffisent. A son insu, l'utilisateur découvre par le biais d'un message sur son mur qu'il a "aimé" le contenu de ce dernier. En réalité, un script Java a installé un bouton "J'aime" invisible sous le lien "voir la vidéo". Cette arnaque bénéficie d'une portée d'autant plus importante que Facebook a amélioré la dimension virale du bouton "like", en lui conférant une dimension semblable à celle de la fonction "partager". En d'autres termes, tous les "J'aime" d'un internaute s'affichent désormais sur son mur avec une vignette et une brève description, crédibilisant d'autant plus le lien. Bitdefender estime, dans une large fourchette, que le "like-jacking" rapporte 20 à 200 000 euros par jour en recettes publicitaires.
Le détournement de photos ou "tag-jacking"
Reposant sur le même principe que le détournement du bouton "J'aime", ce procédé exploite l'outil de taggage d'images fourni par la plateforme sociale. Là encore, l'internaute est incité à cliquer sur un lien renvoyant essentiellement vers un contenu vidéo. La victime va découvrir ensuite qu'une photo a été ajoutée à sa galerie et que tous ses "amis" ont été taggués sur celle-ci. Rien de tel pour attiser la curiosité de ses contacts, qui cliqueront à leur tour sur le lien, contaminant à leur tour leurs "amis"… "Le phénomène du détournement des tags est basé sur un mécanisme de diffusion extrêmement infectieux, qui permet d'assurer une plus large audience au message", souligne le rapport.
Les fausses applications
Cette technique appâte les internautes en leur faisant miroiter un service séduisant dans l'optique de récupérer leurs données personnelles. Exemple : la fausse application "Découvre qui a consulté ton profil", lancée en janvier dernier. Une escroquerie qui a été largement relayée sur les pages Facebook des internautes, enregistrant… 1 411 743 clics. "Les appâts qui reposent sur le même sujet sont conçus pour déclencher les réactions émotionnelles recherchées et concerner une grande quantité de cibles", souligne le livre blanc. Une des déclinaisons du procédé des fausses applications est le détournement d'événements ou "event-jacking". Cette arnaque consiste en la création d'un faux événement pour inciter les utilisateurs à cliquer et disséminer une application nuisible.
Les fausses notifications d'administration de page
Dans ce cas, les escrocs créent une fausse page de fan et y insèrent un onglet customisé. "Pour promouvoir la page, les arnaqueurs ajouteront de nombreux utilisateurs sur Facebook en tant qu'administrateurs de la page malveillante. Quand les utilisateurs sont désignés comme tels, ils reçoivent un e-mail leur notifiant leur 'nouveau statut social'. A la réception de cette notification, les utilisateurs, attisés par la curiosité, cliqueront sur le lien parce qu'ils ne connaissent pas cette page ou ils ne se souviennent pas avoir déjà pris part à cette création de fanpage. Quand ils atterrissent ensuite sur la fausse page Facebook, ils sont redirigés vers une page malveillante", détaille BitDefender.
Une fois que les pirates se sont assurés d'une audience conséquente, il peuvent remplacer un "contenu inoffensif au départ par des éléments malveillants", met en garde le rapport. Le message automatique visible sur le mur Facebook de l'internaute devient alors un véritable danger pour lui et ses contacts (publicités non sollicitées, récupération de données, etc.).
LE B.A.-BA DES RÈGLES DE PROTECTION
"Les nouvelles modifications annoncées par le réseau social vont rendre la présence d'applications et leur fonctionnement très visibles dans le profil des utilisateurs, permettront aux arnaques sociales d'atteindre des niveaux d'efficacité inégalés", souligne le rapport. Heureusement, quelques règles simples permettent de réduire les risques d'arnaques.
Elément clé, le mot de passe est le premier rempart des données privées sur Internet. L'éditeur d'antivirus recommande la création d'un mot de passe complexe : 12 caractères, mélangeant majuscules et minuscules, "sans utiliser de noms usuels ni de marque, est un minimum". Il est également conseillé de ne pas conserver de mots de passe en mémoire dans les navigateurs d'un téléphone ou d'un ordinateur portable pour se prémunir d'un accès non souhaité au compte du réseau social en cas de vol. Autre précaution utile : supprimer les cookies. L'effacement des données de navigation, proposée par tous les navigateurs Internet, permet d'améliorer la protection de sa vie privée.
Facebook offre également un outil pour déceler une activité suspecte sur son profil : la notification de connexion. Ce service informe l'internaute par e-mail ou SMS lorsque quelqu'un se connecte à son compte via un nouvel appareil.
Pour ne pas fournir, à son corps défendant, des informations aux escrocs potentiels, il est récommandé d'être prudent sur le nombre d'informations rendues publiques. Mais un des moyens les plus efficaces de se protéger reste de sélectionner avec attention les informations publiées : de nombreuses tentatives d'escroquerie s'appuient en effet sur des éléments biographiques pour inciter l'internaute à envoyer de l'argent à un soi-disant proche, le plus souvent en mauvaise posture, à l'autre bout du monde.
BitDefender souligne que les nouvelles fonctionnalités annoncées par la plateforme sociale lors de la conférence Facebook F8, comme les "listes intelligentes" et surtout la Timeline – une page proche de celle d'un blog, regroupant à la fois des images, des messages et des applications, par ordre antéchronologique, année par année – offrent la possibilité d'en apprendre beaucoup sur une personne d'un seul coup d'œil. Une innovation positive en termes d'interactions, mais qui constitue une manne potentielle pour des escrocs qui peuvent y trouver aisément des informations détaillées sur un individu.
Fin octobre, Facebook estimait que des centaines de milliers de profils étaient piratés chaque jour. Sur plus d'un milliard de connections quotidiennes au site, 600 000 sont des imposteurs qui tentent d'accéder aux messages, aux photos ou au contenu personnel des utilisateurs.
No comments:
Post a Comment