Comment les escrocs des médias sociaux gagnent du temps pour voler vos codes 2FA

Les escroqueries par hameçonnage qui tentent de vous inciter à entrer votre vrai mot de passe dans un faux site existent depuis des décennies.

Comme le savent les lecteurs réguliers de Naked Security, des précautions telles que l'utilisation d'un gestionnaire de mots de passe et l'activation de l'authentification à deux facteurs (2FA) peuvent vous aider à vous protéger contre les incidents de phishing, car :

• Les gestionnaires de mots de passe associent les noms d'utilisateur et les mots de passe à des pages Web spécifiques. Il est donc difficile pour les gestionnaires de mots de passe de vous trahir par erreur vers de faux sites Web, car ils ne peuvent rien mettre automatiquement pour vous s'ils sont confrontés à un site Web qu'ils n'ont jamais vu auparavant. Même si le faux site est une copie au pixel près de l'original, avec un nom de serveur suffisamment proche pour être presque indiscernable à l'œil humain, le gestionnaire de mots de passe ne sera pas dupe car il recherche généralement l'URL, l'URL entière , et rien d'autre que l'URL.
• Lorsque 2FA est activé, votre mot de passe seul ne suffit généralement pas pour vous connecter. Les codes utilisés par les systèmes 2FA ne fonctionnent généralement qu'une seule fois, qu'ils soient envoyés à votre téléphone par SMS, générés par une application mobile ou calculés par un dongle matériel sécurisé ou un porte-clés que vous transportez séparément de votre ordinateur. Connaître (ou voler, acheter ou deviner) uniquement votre mot de passe ne suffit plus à un cybercriminel pour « prouver » faussement qu’il est vous.

Malheureusement, ces précautions ne peuvent pas vous immuniser complètement contre les attaques de phishing, et les cybercriminels arrivent de mieux en mieux à tromper des utilisateurs innocents pour qu'ils transmettent à la fois leurs mots de passe et leurs codes 2FA, dans le cadre de la même attaque…

… à ce moment-là, les escrocs essaient immédiatement d'utiliser la combinaison nom d'utilisateur + mot de passe + code à usage unique qu'ils viennent de trouver, dans l'espoir de se connecter assez rapidement pour accéder à votre compte avant que vous ne réalisiez qu'il se passe quelque chose de phishy.

Pire encore, les escrocs chercheront souvent à créer ce que nous aimons appeler un «démontage en douceur», ce qui signifie qu'ils créent une conclusion visuelle crédible à leur expédition de phishing.

Cela donne souvent l'impression que l'activité que vous venez d'"approuver" en saisissant votre mot de passe et votre code 2FA (comme contester une plainte ou annuler une commande) s'est terminée correctement, et donc aucune autre action n'est nécessaire de votre part.

Ainsi, non seulement les attaquants accèdent à votre compte, mais ils vous laissent également sans méfiance et il est peu probable qu'ils fassent un suivi pour voir si votre compte a vraiment été piraté.

La route courte mais sinueuse

Voici une arnaque sur Facebook que nous avons reçue récemment et qui tente de vous guider exactement dans cette voie, avec des niveaux de crédibilité différents à chaque étape.

Les arnaqueurs :

• Prétendez que votre propre page Facebook enfreint les conditions d'utilisation de Facebook. Les escrocs avertissent que cela pourrait entraîner la fermeture de votre compte. Comme vous le savez, le brouhaha qui éclate actuellement sur et autour de Twitter a transformé des problèmes tels que la vérification, la suspension et la réintégration des comptes en controverses bruyantes. En conséquence, les utilisateurs de médias sociaux sont naturellement préoccupés par la protection de leurs comptes en général, qu'ils soient spécifiquement préoccupés par Twitter ou non :
  

• Vous attirer vers une vraie page avec un facebook.com URL. Le compte est faux, entièrement configuré pour cette campagne d'escroquerie particulière, mais le lien qui apparaît dans l'e-mail que vous recevez mène effectivement à facebook.com, ce qui le rend moins susceptible d'attirer les soupçons, que ce soit de votre part ou de la part de votre filtre anti-spam. Les escrocs ont titré leur page Propriété intellectuelle (les plaintes pour atteinte aux droits d'auteur sont très courantes de nos jours), et ont utilisé le logo officiel de Meta, la société mère de Facebook, afin d'ajouter une touche de légitimité :
  

  

• Vous fournir une URL pour contacter Facebook pour faire appel contre l'annulation. L'URL ci-dessus ne se termine pas par facebook.com, mais il commence par un texte qui le fait ressembler à un lien personnalisé du formulaire facebook-help-nnnnnn, où les escrocs prétendent que les chiffres nnnnnn sont un identifiant unique qui dénote votre cas spécifique :
  

  

• Collectez des données en grande partie innocentes sur votre présence sur Facebook. Il y a même un champ facultatif pour Information additionnelle où vous êtes invité à plaider votre cause. (Voir l'image ci-dessus.)

Maintenant "prouvez" vous-même

À ce stade, vous devez fournir une preuve que vous êtes bien le propriétaire du compte, afin que les escrocs vous disent ensuite :

• Authentifiez-vous avec votre mot de passe. Le site sur lequel vous êtes contient le texte facebook-help-nnnnnnn dans la barre d'adresse ; il utilise HTTPS (HTTP sécurisé, c'est-à-dire qu'il y a un cadenas affiché) ; et la marque le fait ressembler aux propres pages de Facebook :
  

  

• Fournissez le code 2FA pour accompagner votre mot de passe. La boîte de dialogue ici est très similaire à celle utilisée par Facebook lui-même, avec le libellé copié directement à partir de la propre interface utilisateur de Facebook. Ici vous pouvez voir la fausse boîte de dialogue (en haut) et la vraie qui serait affichée par Facebook lui-même (en bas) :
  

  

  

• Attendez jusqu'à cinq minutes dans l'espoir que le "blocage de compte" puisse être supprimé automatiquement. Les escrocs jouent ici les deux bouts, en vous invitant à bien vous en sortir pour ne pas interrompre une éventuelle résolution immédiate, et en vous suggérant de rester à portée de main au cas où des informations complémentaires seraient demandées :

Comme vous pouvez le voir, le résultat probable pour quiconque a été aspiré dans cette arnaque en premier lieu est qu'il donnera aux escrocs une fenêtre complète de cinq minutes pendant laquelle les attaquants peuvent essayer de se connecter à leur compte et de le prendre en charge.

Le JavaScript utilisé par les criminels sur leur site piégé semble même contenir un message qui peut être déclenché si le mot de passe de la victime fonctionne correctement mais pas le code 2FA qu'ils ont fourni :

   Le code de connexion que vous avez saisi ne correspond pas à celui envoyé sur votre téléphone.
   Veuillez vérifier le numéro et réessayer.

La fin de l'escroquerie est peut-être la partie la moins convaincante, mais elle sert néanmoins à vous déplacer automatiquement hors du site frauduleux et à vous ramener à un endroit entièrement authentique, à savoir le site officiel de Facebook. Centre d'aide:

Que faire?

Même si vous n'êtes pas un utilisateur particulièrement sérieux des médias sociaux, et même si vous opérez sous un pseudonyme qui ne renvoie pas de manière évidente et publique à votre identité réelle, vos comptes en ligne sont précieux pour les cybercriminels pour trois raisons principales :

• Un accès complet à vos comptes de médias sociaux pourrait donner aux escrocs un accès aux aspects privés de votre profil. Qu'ils vendent ces informations sur le dark web ou en abusent eux-mêmes, leur compromission pourrait augmenter votre risque d'usurpation d'identité.
• La possibilité de publier via vos comptes permet aux escrocs de colporter des informations erronées et de fausses nouvelles sous votre nom. Vous pourriez vous retrouver expulsé de la plate-forme, bloqué de votre compte ou en difficulté publique, à moins et jusqu'à ce que vous puissiez prouver que votre compte a été piraté.
• L'accès à vos contacts choisis signifie que les escrocs peuvent cibler de manière agressive vos amis et votre famille. Vos propres contacts sont non seulement beaucoup plus susceptibles de voir les messages provenant de votre compte, mais également plus susceptibles de les examiner sérieusement.

En termes simples, en laissant les cybercriminels accéder à votre compte de médias sociaux, vous mettez en fin de compte non seulement vous-même, mais également vos amis et votre famille, et même tout le monde sur la plate-forme, en danger.

Que faire?

Voici trois conseils rapides :

• CONSEIL 1. Conservez une trace des pages officielles « déverrouiller votre compte » et « comment gérer les problèmes de propriété intellectuelle » des réseaux sociaux que vous utilisez. De cette façon, vous n'aurez jamais besoin de vous fier aux liens envoyés par e-mail pour vous y retrouver à l'avenir. Les astuces courantes utilisées par les attaquants incluent les violations de droits d'auteur concoctées ; des infractions inventées aux conditions générales (comme dans ce cas) ; fausses déclarations de connexions frauduleuses que vous devez examiner ; et d'autres faux "problèmes" avec votre compte. Les escrocs incluent souvent une certaine pression temporelle, comme dans la limite de 24 heures revendiquée dans cette arnaque, comme un encouragement supplémentaire à gagner du temps en cliquant simplement dessus.
• ASTUCE 2. Ne vous laissez pas tromper par le fait que les liens « click-to-contact » sont hébergés sur des sites légitimes. Dans cette arnaque, la page de contact initiale est hébergée par Facebook, mais c'est un compte frauduleux, et les pages de phishing sont hébergées, avec un certificat HTTPS valide, via Google, mais le contenu qui est servi est faux. De nos jours, l'entreprise qui héberge le contenu est rarement la même que les personnes qui le créent et le publient.
• CONSEIL 3. En cas de doute, ne le donnez pas. Ne vous sentez jamais obligé de prendre des risques pour conclure une transaction rapidement parce que vous avez peur du résultat si vous prenez le temps de Arrêtez, to penser, et alors seulement connect. Si vous n'êtes pas sûr, demandez conseil à quelqu'un que vous connaissez et en qui vous avez confiance dans la vie réelle, afin de ne pas finir par faire confiance à l'expéditeur du message même auquel vous n'êtes pas sûr de pouvoir faire confiance. (Et voir le CONSEIL 1 ci-dessus.)

N'oubliez pas qu'avec le Black Friday et le Cyber ​​​​Monday qui arrivent ce week-end, vous recevrez probablement de nombreuses offres authentiques, de nombreuses offres frauduleuses et un certain nombre d'avertissements bien intentionnés sur la façon d'améliorer votre cybersécurité spécifiquement pour cette période de l'année…

… mais gardez à l'esprit que la cybersécurité est quelque chose à prendre au sérieux toute l'année : commencez hier, faites-le aujourd'hui et continuez demain !

---