Des pirates, exploitant de fausses URL, volent de nombreux identifiants aux utilisateurs mobiles de Facebook, voici comment se défendre et repérer le piège
Une nouvelle attaque de pirates circule sur Facebook, et elle touche principalement ceux qui se connectent via des navigateurs de smartphones. Il ne s'agit pas vraiment d'un logiciel malveillant, mais d'une technique permettant de modifier l'URL d'accès aux médias sociaux et de voler les informations d'identification des utilisateurs.
Une URL se compose généralement de trois parties. Le domaine (obligatoire), qui identifie le nom du site. Un sous-domaine, qui est facultatif, et un chemin (également facultatif) qui indique brièvement où nous nous trouvons. L'URL officiel de la version mobile de Facebook est m.facebook.com. Où l'emme identifie qu'il s'agit de la version mobile et que Facebook est le domaine. Les cybercriminels exploitent l'inattention de nombreux utilisateurs et renvoient vers des pages d'accès non fiables, telles que http://m.facebook.com-validate-step1.rickytaylk.com/sign_in.html. Ici, un sous-domaine apparemment inoffensif a été inséré, mais le pirate l'utilise pour espionner nos informations d'identification.
Comment fonctionne l'arnaque
Une fois que nous avons saisi nos informations d'identification sur cette fausse page de connexion, le site nous indique qu'il y a eu une erreur d'authentification. À ce moment-là, le pirate aura volé notre mot de passe. Les traits d'union entre facebook.com et "valider" sont insérés de manière subtile. Sur un PC, nous verrons l'URL complète, mais dans la version mobile, nous ne verrons que m.facebook.com plus quelques tirets. Si nous ne faisons pas attention, il est très difficile de reconnaître cette fausse URL. Les chercheurs en cybersécurité ont repéré de fausses URL comme celle-ci dans des conversations par courriel, des messages texte, des applications de messagerie et au sein même des médias sociaux.
Comment se défendre
Il existe quelques techniques que vous pouvez utiliser pour repérer ces attaques de phishing. Tout d'abord, le conseil est d'accéder aux médias sociaux et à nos profils privés en tapant manuellement l'adresse de la plateforme sociale, afin de ne pas tomber dans un piège. Nous devons également éviter de cliquer sur des liens non fiables sur WhatsApp ou par e-mail. Il faut également éviter d'utiliser le même mot de passe sur tous nos comptes. Sinon, après avoir volé nos identifiants Facebook, le pirate pourrait également accéder à notre compte bancaire ou à nos données de commerce électronique. Un gestionnaire de mots de passe peut être utilisé pour mémoriser plusieurs mots de passe différents. Le meilleur conseil, cependant, est d'activer la vérification en deux étapes, afin que le cybercriminel n'ait pas seulement besoin de notre mot de passe pour accéder à notre profil.