Il existe des techniques plus ou moins fastidieuses de piratage de compte Facebook, mais il ne faut pas se leurrer : les deux dangers principaux sont le phishing et les applications tierces malicieuses.
Comme Facebook est un lieu "de confiance" où l'on communique avec des "amis", des proches et de la famille, on a tendance à baisser sa garde quand un de nos contacts nous invitent à visiter tel site ou ajouter telle application. Et c'est de cette manière, de compte en compte, qu'un utilisateur malicieux peut en venir à contrôler des milliers de profils qui lui serviront pour d'autres campagnes.
Nous allons voir ici comment l'on peut se faire voler son identité en trois étapes. L'expérience a été réalisé par des chercheurs de chez PANDAsecurity et présente un cas réel.
1/ L'appât
Une attaque débute toujours par une personne présente dans vos contacts. Elle peut être un ami de longue date, ou une mystérieuse jeune et jolie inconnue que vous avez acceptée la veille. Vous allez recevoir un message de cette personne (Jessica dans notre cas) qui peut utiliser plusieurs média : la messagerie, votre mur ou le chat. Le but étant de vous faire cliquer sur un lien :
Spam par messagerie instantanée
En général l'accroche vous fait miroiter une vidéo ou une révélation choquante (message caché dans le logo de Coca-Cola, une fille qui se suicide après avoir lu un texto, DiCaprio a eu un accident, ...). Une version plus ancienne (qui tournait déjà aux débuts de MSN Messenger) consiste à vous faire croire que vous êtes sur une vidéo ou une photo compromettante...bref, tout est bon pour que vous suiviez le lien!
2/ La tentative de phishing
Curieux ou simplement con (ou les deux) vous avez fait confiance à Jessica et vous arrivez sur une page de login. Cela peut arriver des fois, quand on passe d'une page à l'autre et que la session a expiré suite à une trop longue inactivité. Mais cette fois-ci, rien de cela, il s'agit d'une belle page frauduleuse :
Fausse page Facebook
Vous rentrez vos identifiants/mots de passe sauf qu'au lieu d'être envoyés à Facebook, ils seront transmis à un serveur pirate. En général il est assez simple de détecter ce type de page, car l'adresse du site n'appartient pas à Facebook. Seulement il est toujours possible de compromettre certaines applications externes (avec une URL en apps.facebook.com) et de vous faire croire que vous êtes effectivement sur le domaine facebook.com. La page de phishing n'est pas non plus toujours hébergée sur un site appartenant au pirate (c'est même rare), elle l'ait plus souvent sur un site qui a été piraté. Ainsi des sites très officiels (mairie, aéroport, société, ...) peuvent être vecteurs de ce type d'attaque, et ce n'est pas le "petit cadenas vert" signalant le chiffrement des données, qui vous protégera.
3/ Accès total au compte Facebook
Maintenant que le méchant a vos mots de passe, on pourrait croire le calvaire terminé. Mais non, pour faciliter la collecte de vos données personnelles il va vous faire installer une application facebook qui lui donnera un accès total à vos informations personnelles :
Installation d'une application facebook pirate
Cela permet aussi de vous faire "oublier" la page de login : l'installation de l'application se fait sur le site de facebook.com! Durant tout ce temps l'utilisateur piégé pense être resté sur facebook. Et une fois que vous aurez donné la permission à l'application d'accéder à vos données, le piège recommencera à destination de vos contacts.
Les personnes tombant dans le panneau peuvent être nombreuses. Voici le message de réaction de Jessica suite au vol de son compte :
Non seulement elle a infecté au minimum trois de ses contacts (Ernie, Alicia et Chris), mais en plus elle ne mesure même pas la gravité de la situation et en rit ("HAHAHA sorry!!!").
Alors que faire si vous pensez avoir été victime de ce type d'attaque?
1/ Supprimez l'application malicieuse : lien direct
2/ Changez votre mot de passe
3/ S'armer de prudence et de bon sens pour l'avenir!
4/ Bonus : attaque man in the middle et Chat Facebook
Pour ceux que cela intéresse, voici une technique encore peu utilisée mais qui est une petite révolution dans le monde de l'ingénierie sociale automatisée.
Alors le principe de l'homme au milieu (Man In The Middle, ou MITM) n'est pas compliqué : vous prenez deux personnes qui communiquent ou veulent communiquer et vous vous intercalez entre eux de manière discrète afin d'écouter, éventuellement modifier, puis retransmettre les informations échangées.
Dans notre cas, c'est la découverte de l'Université Technique de Vienne qui va nous intéresser afin d'améliorer l'appât présenté en 1/. Il s'agit en faite d'ouvrir deux conversations Facebook par un automate (ou bot) et de le nourrir des réponses d'une personnes pour agrémenter la seconde conversation.
Ainsi les deux victimes penseront avoir à faire à un humain et seront plus enclin à cliquer sur le lien malicieux.
Même si ce dernier exemple montre l'ingéniosité dont peuvent faire preuve les pirates comme les chercheurs en sécurité informatique, en général les techniques varient peu et les mêmes recettes sont réutilisées inlassablement : il y a juste la sauce qui change! Comprenez-les, et vous serez (presque) immunisé!
Exemple de conversation "man in the middle"
Ainsi les deux victimes penseront avoir à faire à un humain et seront plus enclin à cliquer sur le lien malicieux.
Même si ce dernier exemple montre l'ingéniosité dont peuvent faire preuve les pirates comme les chercheurs en sécurité informatique, en général les techniques varient peu et les mêmes recettes sont réutilisées inlassablement : il y a juste la sauce qui change! Comprenez-les, et vous serez (presque) immunisé!
salut
Enregistrer un commentaire