Facebook : une nouvelle méthode de vol de vos identifiants

Une nouvelle méthode de vol de vos identifiants Facebook est en train de faire des dégâts. Particulièrement efficace, la technique repose sur les « contacts de confiance », une fonctionnalité de Facebook créée en 2013.

La fonctionnalité « Contacts de confiance » de Facebook

Au cas où vous perdriez les accès à votre compte Facebook, que vous oublieriez votre mot de passe et n’ayez pas accès à votre boîte mail ni à votre téléphone mobile, il existe la fonctionnalité « contacts de confiance », à activer avant de vous retrouver coincé.

Vous pouvez donc choisir parmi vos amis Facebook trois à cinq personnes de confiance qui vous aideront à récupérer l’accès à votre compte. En cas de besoin, le réseau social va alors envoyer à ces amis 3 codes différents (1 par personne) constitués de chiffres et lettres, qu’ils devront vous communiquer. En saisissant ces 3 codes, vous retrouverez l’accès à votre compte.

La méthode des pirates

Le pirate surfe sur la méconnaissance de cette fonctionnalité des utilisateurs pour nous berner. Il commence par pirater un compte, puis il envoie aux contacts de la victime un message annonçant qu’ils sont le contact de confiance de la personne piratée.

Il prétend que les contacts de confiance sont censés recevoir un mail de la part de Facebook et envoie donc un email de phishing aux couleurs de Facebook.

Le mail annonce que le contact de confiance va permettre à la victime de récupérer l’accès à son compte s’il insère ses propres login et mot de passe dans les champs prévus à cet effet au sein du mail.

Il n’en faut pas plus au pirate pour récupérer les identifiants de tous les amis un peu trop naïfs de la première victime. Il peut ensuite recommencer l’opération avec tous les contacts des utilisateurs dont il vient de récupérer les identifiants. Il peut notamment envoyer ces emails en utilisant la fonction « importez vos contacts Facebook » présente dans plusieurs webmail.

Comment vous protéger ?

Il s’agit encore une fois d’une méthode de phishing élaborée à partir d’ingénierie sociale.

Sachez que si vous  étiez le « contact de confiance » de quelqu’un, vous le sauriez.

Ensuite, retenez la procédure définie par Facebook consistant à envoyer un code unique que vous devez ensuite communiquer à votre ami par le moyen de votre choix (sms, email, oralement…), et surtout pas à vous demander vos identifiants par email. Et si la personne qui prétend avoir perdu l’accès à son compte vous préviens via Facebook, vous pouvez légitimement pensez qu’il se moque de vous…

De manière générale, pour détecter ces phishings, vérifiez toujours l’url du site ou l’adresse email de l’expéditeur. Pensez bien aussi à signaler ces tentatives de fraudes, c’est important pour lutter contre ce fléau qui représente 80% des emails envoyés dans le monde !

Pour en savoir plus :

• Lutter contre les spams et les phishings
• Les 6 raisons de signaler les mails de phishing
• L’ingénierie sociale au service de la cybercriminalité