Les escrocs sont sans relâche dans leur quête d’informations personnelles, allant des identifiants de connexion aux numéros de carte de crédit. L’une de leurs dernières manigances cible à nouveau les utilisateurs de Facebook, en tentant d’ouvrir une ligne de communication permanente qu’ils pourront exploiter dans le temps.
Les équipes de Malwarebytes Labs ont identifié une arnaque de phishing ciblant les connexions Facebook, similaire à celle récemment observée pour les utilisateurs d’Instagram. Découvrons comment cette campagne fonctionne et comment éviter de tomber dans le piège.
Le phishing par mailto : une menace pour les comptes Facebook
Cette arnaque débute comme tant d’autres, par un courriel non sollicité. L’objet du message est alarmant : « Nous avons reçu une demande de réinitialisation de votre mot de passe pour votre compte Facebook ! ». Malgré une utilisation discutable de la majuscule, vous pourriez être tenté de vérifier qu’il n’y a rien à faire. Le corps du mail indique que vous recevez ce message car quelqu’un vient de se connecter à votre compte depuis un appareil non reconnu, et Facebook veut s’assurer que c’est bien vous. Vous avez deux options : « Signaler l’utilisateur » ou « Oui, c’est moi ».
Alors que de nombreuses arnaques de phishing vous dirigent vers un site frauduleux conçu pour voler vos informations, celle-ci utilise plutôt des liens mailto : . Si vous cliquez sur l’un des boutons ou sur l’option de désinscription en bas, votre appareil ouvrira votre programme de messagerie par défaut avec un email pré-rempli en fonction du texte du bouton. Le courriel ne sera pas envoyé à un domaine appartenant à Facebook ou à Meta, les escrocs utilisant une technique appelée “typosquatting” pour rendre l’adresse au moins en partie légitime, en l’associant à des entreprises comme Black Diamond ou Vacasa.
Bien que cela puisse sembler relativement inoffensif, car aucune information personnelle n’a été fournie, le fait d’appuyer sur « envoyer » valide votre adresse email, permettant aux escrocs de vous cibler ultérieurement. Ils peuvent également essayer d’établir une relation avec vous par email et de gagner votre confiance au fil du temps. Le phishing par mailto : a plus de chances d’échapper aux filtres des emails par rapport aux liens malveillants, ce qui permet aux escrocs d’atteindre directement votre boîte de réception.
Comment éviter le phishing des connexions Facebook
Comme pour toutes les escroqueries, celle-ci utilise l’urgence pour vous convaincre d’agir, car bien sûr, vous souhaitez protéger votre compte contre les connexions non autorisées. Il est donc essentiel d’analyser minutieusement toute communication — email, SMS, message sur les réseaux sociaux, appel téléphonique, etc. — qui suscite une forte émotion, notamment en matière de sécurité. Ces campagnes comportent souvent d’autres signaux d’alerte communs, tels que des fautes de frappe et des erreurs grammaticales, et proviennent généralement d’adresses email, de comptes ou de numéros de téléphone clairement frauduleux.
Vous savez probablement qu’il faut se méfier des liens dans les messages non sollicités, ce qui s’applique également aux liens mailto : . Survolez toujours les hyperliens et les boutons avant de les ouvrir. Si un lien ouvre un courriel pré-adressé, ne l’envoyez pas. Rappelez-vous que les entreprises ne demanderont jamais d’informations sensibles par email, et qu’il est toujours préférable de passer par des canaux de communication vérifiés, comme des messages sécurisés dans un portail de compte ou des numéros de téléphone figurant sur le site web de l’entreprise, pour confirmer la légitimité de la demande.
Points à retenir
- Rester vigilant face aux courriels suspects est crucial pour éviter le phishing.
- Les escrocs utilisent des techniques variées comme le typosquatting pour masquer leurs véritables intentions.
- Il est important de passer toujours par des canaux officiels pour vérifier les demandes d’information sensibles.
En conclusion, la montée des arnaques de phishing montre l’importance d’une vigilance constante face aux menaces numériques. Comment se préparer efficacement et protéger ses données tout en gardant une communication ouverte et authentique avec les plateformes que nous utilisons au quotidien ? La discussion reste ouverte, et il est fondamental de partager nos expériences pour renforcer notre résilience collective.