Les escrocs ne relâchent jamais leurs efforts pour obtenir vos informations personnelles, qu’il s’agisse de vos identifiants de connexion ou de vos numéros de carte de crédit. L’une des dernières arnaques vise à nouveau les utilisateurs de Facebook, cette fois dans le but d’établir une ligne de communication continue qu’ils peuvent exploiter.
Les experts de Malwarebytes Labs ont identifié une arnaque de phishing visant les connexions sur Facebook, très similaire à celle récemment rapportée concernant les utilisateurs d’Instagram. Voici le fonctionnement de cette campagne et les moyens pour vous en protéger.
Une arnaque ciblant les comptes Facebook
Cette arnaque débute comme beaucoup d’autres, avec un e-mail non sollicité. L’objet de l’e-mail est quelque peu alarmant : « Nous avons reçu une demande de réinitialisation de votre mot de passe pour votre compte Facebook ! » Malgré l’étrange utilisation des majuscules, vous pourriez être tenté de cliquer pour être sûr qu’il n’y a rien à faire. Le message indique que vous recevez cet e-mail parce que quelqu’un vient de se connecter à votre compte depuis un appareil non reconnu, et Facebook souhaite vérifier que c’est bien vous. Deux boutons vous sont proposés : « Signaler l’utilisateur » et « Oui, c’est moi ».
Contrairement à d’autres arnaques de phishing qui vous incitent à cliquer sur un lien menant à un site web frauduleux, celle-ci (comme la récente arnaque concernant Instagram) utilise des liens mailto. Si vous cliquez sur l’un des boutons ou sur l’option de désinscription en bas, votre appareil lancera votre programme de messagerie par défaut et ouvrira un e-mail avec un sujet prérempli correspondant au texte du bouton. L’adresse de réponse ne renvoie pas à un domaine détenu par Facebook ou Meta ; les escrocs utilisent une technique nommée typosquatting pour donner l’impression que l’adresse est légitime, en utilisant par exemple des noms d’entreprises comme Black Diamond ou Vacasa.
Cette approche peut sembler relativement inoffensive, car vous n’avez pas fourni d’informations personnelles dans votre réponse. Cependant, en cliquant sur « envoyer », vous validez votre adresse e-mail, ce qui permet aux escrocs de vous cibler à l’avenir. Ils peuvent aussi tenter d’établir une relation par e-mail pour gagner votre confiance au fil du temps. Le phishing par mailto a plus de chances de passer à travers les filtres anti-spam par rapport aux liens malveillants, ce qui permet aux escrocs d’atteindre votre boîte de réception.
Comment éviter le phishing sur Facebook
Comme pour toutes les arnaques, celle-ci joue sur l’urgence pour vous inciter à agir, car, bien entendu, vous souhaitez protéger votre compte contre les connexions non autorisées. C’est pourquoi il est crucial d’examiner minutieusement toute communication — e-mail, message texte, message sur les réseaux sociaux, appel téléphonique, peu importe — qui suscite une forte émotion, notamment en ce qui concerne la sécurité. Ces campagnes comportent souvent d’autres signes révélateurs, tels que des fautes de frappe et des erreurs grammaticales, et elles proviennent généralement d’adresses e-mail, de comptes ou de numéros de téléphone qui sont manifestement frauduleux.
Vous savez probablement qu’il faut se méfier des liens dans les messages non sollicités, y compris les liens mailto. Passez toujours la souris sur les hyperliens et les boutons avant de les ouvrir. Si un lien lance un e-mail pré-adressé, ne l’envoyez pas. N’oubliez pas que les entreprises ne vous demanderont jamais d’informations sensibles par e-mail, et vous devriez toujours vérifier les demandes via des canaux de communication certifiés, comme des messages sécurisés dans un portail de compte ou des numéros de téléphone trouvés sur le site de l’entreprise, pour confirmer la légitimité de la demande.
Points à retenir
- Restez vigilant face aux e-mails non sollicités, surtout s’ils semblent urgents.
- Utilisez des canaux de communication sûrs pour valider toute demande d’information sensible.
- Faites attention aux fautes d’orthographe et aux adresses e-mail suspectes dans les communications douteuses.
La lutte contre le phishing et les escroqueries en ligne s’apparente à une course sans fin. Cette situation soulève des questions sur la responsabilité des plateformes pour protéger leurs utilisateurs. Dans un monde où les cybermenaces évoluent rapidement, que peuvent faire les utilisateurs pour renforcer leur sécurité en ligne au-delà des simples conseils ?