Des avis de  » violation du droit d’auteur  » conduisent au contournement de l’authentification à deux facteurs de Facebook

Written by on in Articles

Des escrocs ont imaginé un nouveau moyen de tenter de contourner les protections d’authentification à deux facteurs (2FA) sur Facebook.

Les cybercriminels envoient de faux avis de violation du droit d’auteur avec la menace de retirer les pages à moins que l’utilisateur ne tente de faire appel. La première étape de l' »appel » ? La victime est invitée à soumettre un nom d’utilisateur, un mot de passe et un code 2FA à partir de son appareil mobile, selon Paul Ducklin, chercheur chez Sophos, ce qui permet aux fraudeurs de contourner le 2FA.

Le 2FA est une couche de protection supplémentaire en plus du nom d’utilisateur et du mot de passe qui implique généralement l’envoi d’un code unique à un appareil mobile, qui doit être saisi pour accéder à une plateforme. Mais les escrocs trouvent de plus en plus de moyens de la contourner.

Ducklin a expliqué dans un récent billet sur ses découvertes que Sophos reçoit régulièrement des courriels d’escroquerie de violation de droits d’auteur sur les médias sociaux, mais celui-ci s’est distingué en lançant une attaque plausible à l’aide de pages frauduleuses générées sur Facebook, donnant à leurs courriels de phishing un air de légitimité supplémentaire.

« Aucune de ces tactiques n’est nouvelle – cette escroquerie était juste une combinaison intéressante et informative », a écrit Ducklin à Threatpost dans un courriel sur ses découvertes. « Premièrement, l’email est court et simple ; deuxièmement, le lien dans l’email renvoie à un site légitime, à savoir Facebook ; troisièmement, le flux de travail sur le site d’escroquerie est étonnamment crédible. »

Les faux emails Facebook offrent des indices qu’ils ne sont pas légitimes, mais Ducklin souligne que c’est suffisamment convaincant pour inciter les administrateurs de médias sociaux à vouloir recueillir plus d’informations sur les supposées plaintes de violation de droits d’auteur, ce qui signifie cliquer sur le lien de phishing dans l’email.

Le message de l’email menace de supprimer la page de la victime si un appel n’est pas déposé dans les 24 heures.

« Vous verrez que lorsque vous survolez le ‘continuer’ vous amène effectivement sur facebook.com », dit-il. « Le piège, c’est que l’adresse Facebook est la page frauduleuse mise en place pour ressembler à une page Facebook officielle dédiée au traitement des questions de violation du droit d’auteur. »

À partir de là, même si le texte lié ressemble à des clics envoyés vers une autre page Facebook – ostensiblement pour que les victimes puissent déposer un « appel » – Ducklin a regardé et constaté que l’URL cible est différente du texte lié. Elle envoie plutôt la victime vers un domaine .CF basé en République centrafricaine.

« C’est une vieille astuce utilisée par les escrocs – et même par certains sites légitimes », a ajouté Ducklin.

Le site a été mis en place temporairement sur un service d’hébergement web en nuage, qui génère un certificat HTTPS une fois le site en ligne, ce qui rend la détection un peu plus délicate, a-t-il ajouté.

« La validité du certificat a commencé à minuit aujourd’hui, et le courriel d’escroquerie que nous avons reçu est arrivé à 01:53 UTC, ce qui correspond au début de la soirée sur la côte ouest de l’Amérique, et à la fin de la soirée sur la côte est », a écrit Ducklin. « Comme vous pouvez le voir, les cyber-escrocs se déplacent rapidement ! »

Une fois sur le site, les utilisateurs étaient invités à entrer leur mot de passe, deux fois, à accéder à l’application Facebook sur leur appareil mobile et à entrer le code 2FA, qui se trouve dans la section « Paramètres & Confidentialité > Générateur de code » de l’application. Ducklin a écrit que cela pourrait avoir pour résultat de « leur donner potentiellement une chance unique de se connecter en tant que vous, directement à partir de leur serveur, même si vous avez activé le 2FA. »

Une fois qu’ils ont accès aux informations d’identification Facebook d’une victime, les attaquants peuvent vendre les informations sur le dark web, les utiliser pour détourner ou faire tomber des pages, demander une rançon pour les données des utilisateurs ou même faire des achats frauduleux in-app.

Facebook a répondu à la demande de commentaire de Threatpost, en disant que la société recommande de faire attention à ne pas cliquer sur des liens suspects, ajoutant que si un utilisateur se fait pirater, il peut obtenir de l’aide pour sécuriser son compte sur facebook.com/hacked. La société a ajouté qu’elle recommandait l’utilisation d’une application d’authentification tierce comme principale méthode de sécurité. Facebook propose également une liste de conseils pour éviter les tentatives de phishing sur sa plateforme.

Is 2FA Broken ?

Le contournement du 2FA est apparu comme une tendance inquiétante.

Le groupe cybercriminel Rampant Kitten a été découvert tout juste le mois dernier, après avoir opéré sans être détecté pendant des années, pour avoir développé un malware Android qui recueille les codes de sécurité 2FA envoyés aux appareils en plus des informations de connexion Telegram, tout en lançant des attaques de phishing Google.

A peu près au même moment, un cheval de Troie appelé « Alien » ciblait les banques avec un renifleur de notifications inédit qui donnait aux escrocs la possibilité d’accéder aux nouvelles mises à jour des appareils, y compris les codes 2FA, pour contourner la protection.

En mai, une autre attaque sur Office 365 a tenté de tromper les utilisateurs en leur faisant accorder des autorisations à une application malveillante, qui contournerait alors les protections 2FA.

La liste des violations de 2FA est longue. Il reste à l’utilisateur de s’assurer qu’il ne tombe pas dans ce type d’escroquerie par phishing. Ducklin ajoute que l’utilisation d’un filtre web et le fait d’éviter les demandes d’informations de connexion par e-mail sont également de bonnes politiques à suivre.

« Le 2FA n’a jamais été une solution miracle qui élimine le phishing et la fraude – mais il rend les choses plus difficiles pour les escrocs, et il vous donne une occasion supplémentaire de vous arrêter et de réfléchir lorsque vous vous connectez, « Est-ce que je veux vraiment mettre mon mot de passe et mon code de connexion *sur ce site même* ? ». a déclaré M. Ducklin. Vérifiez toujours d’où viennent les courriels et où les liens Web vous ont mené – car la seule chose qui soit pire que d’être escroqué, c’est d’être escroqué et de se rendre compte ensuite que les signes révélateurs étaient là depuis le début. »

Il a ajouté : « Comme tout charpentier vous le dira : mesurez deux fois ; coupez une fois. »

.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.