Facebook… Soyez plus malins que les arnaqueurs !


Au Coin du Comptoir a bien sûr une page Facebook pour faire connaître aux « Amis » les dernières conversations du zinc. Quelques clients sont des « Geeks » et suivent les dernière nouvelles du Net et certains sont tombés sur un livre blanc publié par Bitdefender, l’éditeur de solutions antivirus, livre blanc qui porte sur la sécurité Facebook.

Au coin du comptoir, nous avions eu quelques conversations sur le sujet (*) mais là on va essayer de vous simplifier le boulot en faisant une petite synthèse des 37 pages de ce livre blanc.

(*) –    Les modifications des paramètres de sécurité Facebook

–   facebook-quelques-petits-pieges-entre-amis

Bitdefender présente son livre blanc :

Cette étude  examine  également  les récentes modifications apportées à Facebook® et prédit une intensification d’attaques ciblées. Le rapport revient également sur les arnaques qui ont lourdement sévi sur Facebook® ces derniers mois. L’arnaque sociale “Découvre qui a consulté ton profil” par exemple qui promettait d’indiquer à la victime combien de personnes avaient consulté son profil, comprend en moyenne 286 URL uniques par vague, 14 applications Facebook® uniques,  plus d’un million de clics collectés et un pic de diffusion de chaque URL atteint au bout de 34 heures, selon les données réunies par Bitdefender Safego.

Des systèmes d’autorisations de Facebook®, en passant par les détournements de compte via le bouton « j’aime » qui devient un outil redoutablement efficace de diffusion de liens infectés, cette étude fournit et définit les règles à appliquer pour prévenir les arnaques liées à Facebook®.

Il y a beaucoup de mesures qui relèvent du simple bon sens et je sais que vous n’en manquez pas. Mais nous allons voir quelles astuces utilisent les arnaqueurs pour vous pourrir  la vie petit à petit.

tandis que les réseaux sociaux, comme Facebook, possèdent leur propre nuage sécurisé dans lequel ils conservent les données personnelles de leurs utilisateurs, de nombreuses applications tierces incontrôlées ont accès à ces informations sensibles (dès que l’utilisateur en donne l’autorisation lors de l’installation de l’application), qui sont alors stockées dans le propre nuage de ces applications. Il n’existe aucun moyen de contrôler ce qu’il advient des données une fois qu’elles se trouvent dans le nuage privé d’une application.

Hé oui… Vous n’arrêtez pas de donner l’autorisation à ces fameuses applications tierces ! Ben oui !! Tout le monde le fait alors ?

En gros, l’application en question accède a tout, y compris à vos amis… qui n’ont rien demandé eux !! Les malins arnaqueurs ne font souvent même pas l’effort de vous proposer des applications utiles ou intelligentes. Et ce n’est pas parce qu’un grand nombre de ces applications apparaissent sur le fil de vos amis qu’elles sont sûres, simplement ils sont peut-être déjà enrôlés par les arnaqueurs…

De nombreuses pages Web de réseaux sociaux peuvent fournir une plateforme idéale et rentable de distribution de virus, vers et bots, chevaux de Troie, rootkits, spyware, adware, grayware, faux logiciels de sécurité, et d’autres catégories de malwares. Ou bien encore, un bout de code peut être ajouté à chaque page de chaque utilisateur, de telle manière qu’à chaque fois que l’utilisateur s’y connecte, un bot est immédiatement téléchargé dans le système, transformant l’ordinateur non protégé en “zombie” (une machine compromise intégrée dans un plus grand réseau de machines infectées, appelé botnet, qu’un attaquant contrôle à distance).

Il s’agit là des cas les plus graves et souvent l’utilisateur s’aperçoit à temps de certains dysfonctionnements de son navigateur ou de sa machine, ouverture de pages intempestives, ralentissements, etc. .

La liste d’amis de l’utilisateur (comprise dans les informations rendues accessibles au développeur de l’application grâce à l’autorisation “Accéder à mes informations de base”) peut être exploitée par les attaquants. Un intrus peut réunir des données sur la taille de l’organisation pour laquelle travaille la personne concernée, sa hiérarchie, son expérience et son niveau de connaissances informatiques, etc. Ces informations peuvent localiser un employé qui peut être conduit à révéler des données encore plus sensibles ouvrant ainsi une porte dérobée dans le réseau de l’entreprise.

Règle n° 1    :  n’installez que des applications vraiment utiles. Faites un tour sur Google et faites une recherche  » nom de l’application + problèmes » par exemple pour vous assurer de son innocuité.

Les applications ainsi installées avec votre accord peuvent faire énormément de choses et entre autres :

  • Envoyer des messages électroniques. On se demande parfois d’où peuvent bien venir tous ces spams que l’on reçoit ? Facebook est l’un des moyens utilisés. Une fois capturées, votre adresse et également les adresses de vos amis disparaissent dans l’immense Internet et vont enrichir les listes des spammeurs.
  • Accéder à mes informations de base. Tout connaitre de vous est un moyen idéal pour vous envoyer des mails avec des publicités ciblées.
  • Gérer mes pages. Cela permet à la fausse application de poster sur votre page des messages automatiques qui semblent venir de l’administrateur légitime pour tromper vos amis.
  • Publier sur mon mur. Très fréquent, permet à l’application de publier sur votre mur et sur celui de vos amis des info.
  • Accéder à mes données en permanence. Les applications truquées peuvent ainsi s’afficher lorsque vous êtes déconnecté, éviter ainsi un effacement trop rapide et donc permettre de leurrer de nombreux autres utilisateurs.

fonctionnement d'une page piégée...

Méfiez vous également des sites Web qui vous proposent de vous identifier avec le  profil Facebook. Même lorsque le site est un site connu il arrive que dans le règlement général vous autorisiez ainsi le site à publier sur votre mur Facebook une partie de votre activité sur ce site. (liste de musique, films, etc. )

Règle n° 2   :     Avertissez vos amis quand vous voyez apparaître sur le fil d’actualité une activité qui vous semble suspecte. Demandez lui si cette publication est volontaire.

Une application véhiculant une arnaque poste automatiquement des messages sur le mur de la victime et sur celui de ses amis, de manière à inciter le plus possible de personnes à cliquer, ce qui lui permet de se disséminer plus rapidement. Des messages aguicheurs (utilisé comme de véritables appâts) liés à des actions spécifiques qui déclenchent les réflexes de l’utilisateur (allant d’un simple clic, à un tag, voire à la création d’un évènement) constituent l’arnaque sociale parfaite. Un seul clic, et les utilisateurs voient leur compte inondé de messages truqués envoyés automatiquement 

Pour vous c’est un simple clic, pour vos amis peut être une catastrophe… Soyez attentifs donc sympa.

Le détournement du “J’aime” : le likejacking
Après avoir cliqué sur un lien pour voir le contenu d’une vidéo au titre scandaleux ou choquant, la victime va découvrir qu’un message a été posté automatiquement sur son mur, disant qu’il a AIMÉ ce lien. Comment est-ce possible ? Un script Java installe un bouton “J’aime” invisible sous le bouton Voir la vidéo. L’utilisateur clique pour regarder la vidéo, sans se rendre compte qu’il “aime” la vidéo. 
Cette menace a évolué d’une manière intéressante. Au départ, le mécanisme “J’aime” de Facebook consistait en une ligne s’affichant sous l’en-tête “Activité récente” de la page Profil de l’utilisateur. Ensuite, la plateforme a amélioré le mécanisme viral de ce bouton, en rendant son résultat semblable à celle de la fonction “Partager”. Autrement
dit, tous les “J’aime” s’affichent maintenant sur le mur avec une vignette et une brève description.

Je suis sûr que vous regrettez déjà votre dernier clic sur ce genre de publication …

Le détournement de tag : le tagjacking 

Cette technique utilise l’option tag fournie par la plateforme sociale. Après avoir été incité à cliquer sur un lien vers un contenu vidéo, la victime va découvrir qu’une photo a été ajoutée à sa galerie et que tous ses amis ont été taggués sur cette photo. Le phénomène du détournement des tags est basé sur un mécanisme de diffusion extrêmement infectieux, qui permet d’assurer une plus large audience au message :
AMI A (a cliqué sur le lien) -> AMI B* (récupère un message sur le mur lui disant qu’il a été taggué, il cliquera sur le lien ou non) -> AMI C* (voit le message concernant le tag de B et peut avoir accès au lien malveillant même si B n’a pas cliqué dessus)
*B est l’ami de A et C est l’ami de B.

Règle n° 3   :     Évitez les photos, vidéos, racoleuses soit disant postées par vos amis, en particulier celles qui nécessitent un second clic pour y accéder.

Le détournement d’événement : l’eventjacking

Cette arnaque consiste à la création d’un faux évènement pour inciter les utilisateurs à cliquer et disséminer une application nuisible. Par exemple, vous êtes invité à assister au prétendu lancement de l’application OFFICIELLE “Découvre ceux qui ont consulté ton profil”.
Dans tous les cas évoqués jusqu’ici, à partir du moment où ils se sont assurés une audience de façon illicite, les cybercriminels peuvent remplacer le contenu inoffensif du départ (le plus souvent un film) par des éléments malveillants. Le message automatique resté sur le mur de l’utilisateur pour que tout le monde puisse le voir, peut se transformer en un contenu qui met les données en danger : des pages de phishing ou, pire, du malware déguisé en plugins utiles.

Règle n° 4   :    Adhérez raisonnablement à des pages sérieuses. Vérifiez sur le Web la validité de ces pages ou de ces groupes avant de répondre aux invitations.

Il faut parler des Javascript, bien que certainement, ce terme ne vous dise pas grand chose. Il s’agit de code qui est interprété par votre navigateur Web et, à part quelques geeks lecteurs de ce blog, peu de nos habitués du zinc écrivent du code. Mais nos arnaqueurs ont simplifié cette écriture en passant par un simple copier/coller.

Certaines applications promettant de fournir des statistiques (par exemple “qui a consulté votre profil”, “qui vous a bloqué”, “qui est votre plus grand admirateur”, etc.), de vous permettre d’accéder à des contenus choquants, ou même d’éviter de perdre une fonction spécifique de Facebook (par exemple “récupérer un ancien profil”, “confirmer que le compte est actif”, etc.), nécessitent de coller un script Java dans le navigateur de l’utilisateur. Une fois dans le navigateur, le code peut accéder aux contrôles Facebook avec les privilèges de l’utilisateur et il diffusera cette arnaque en utilisant les API Facebook comme des messages, des invitations et des envois de messages sur le mur des amis.

Règle n° 5   :   Ne pratiquez pas ce genre de manipulation avec des scripts et de même, s’agissant de vidéos ou l’on vous informe qu’il faut télécharger des codecs ou une nouvelle version de Flashplayer pour pouvoir les lire, abstenez-vous. Votre navigateur Web télécharge les mises à jour authentifiées régulièrement avec votre accord. Si vous êtes sollicité pour une mise à jour sur une page de visionnage, fermez cette page et allez dans les options du navigateur pour lancer une mise à jour globale.

Je terminerai avec les conseils de l’étude de Bitdefender mais il faut savoir qu’avec un peu de bon sens, on peut s’éviter le plus gros des inconvénients recensés ci-dessus. Utilisez votre tête et quand vous avez un doute n’hésitez pas à traîner sur Google, vous y trouverez à coup sûr des Internautes prêtsà partager leurs expériences et leurs conseils.

Politique du mot de passe : Utilisez un mot de passe solide pour les comptes sur réseaux sociaux. L’utilisation d’un même mot de passe pour plusieurs comptes augmente les risques. Une fois le mot de passe dérobé, l’attaquant peut avoir accès à tous les comptes associés. Créer des mots de passe de 12 caractères en mélangeant majuscules et minuscules, sans utiliser de noms usuels ni de marque, est un minimum. Ne conservez pas le mot de passe dans le navigateur d’un appareil portable de manière à ce que, en cas de vol, l’appareil en question ne puisse permettre un accès non autorisé au compte de votre réseau social. Si vous ne pouvez pas l’éviter, cryptez votre système de fichiers et protégez votre système avec un mot de passe.

Supprimez les cookies après déconnexion : La plupart des sites web utilisent des cookies pour traquer l’activité en ligne des utilisateurs. Et Facebook les utilise pour traquer votre activité même lorsque vous n’êtes pas connecté. Il vous est conseillé de supprimer les cookies si vous souhaitez naviguer en toute sécurité. Les chercheurs ont également découvert que Facebook pouvait suivre votre activité en ligne à partir de n’importe site web possédant le bouton “J’aime”, même si vous ne cliquez pas dessus. Une manière plus cohérente de protéger son intimité est d’utiliser la fonction “Effacer les données de navigation” de navigateurs comme Google Chrome ou Mozilla Firefox, qui suppriment les cookies quand vous avez fermé le navigateur.

Utilisez des connexions cryptées : Naviguez toujours sur le réseau social au moyen d’une connexion sécurisée (le préfixe “https” dans le navigateur). Revenez à la navigation sécurisée tout de suite après avoir accédé à un contenu sur des pages ne possédant pas le support SSL. Ne passez jamais en mode non sécurisé quand vous êtes sur un réseau ouvert/non sécurisé.

Activez toutes les notifications de connexion : Facebook vous permet de recevoir des notifications par e-mail ou SMS à chaque fois que quelqu’un se connecte à votre compte à partir d’un nouvel appareil. Ceci vous aide à déceler plus rapidement toute activité suspecte pouvant s’exercer sur votre compte.

Soyez prêt en cas de détournement de compte : Si votre compte est piraté, il vous sera demandé de fournir un ensemble d’informations de vérification pour en reprendre le contrôle. Concernant la vérification, il est judicieux d’associer à votre compte un numéro de téléphone. Vous devez cependant garder présent à l’esprit qu’il est très facile de pirater un compte de réseau social en cas de vol du téléphone sur lequel le compte est paramétré. C’est pourquoi la connexion à partir d’un téléphone portable ne devrait pas être automatique, et le téléphone devrait se verrouiller automatiquement.

Sélectionnez avec discernement quelles informations vous publiez : Il est difficile de supprimer complètement une information une fois qu’elle a été publiée en ligne. Sur le web, des robots analysent en permanence le contenu mis en ligne et le multiplie de façon incontrôlable. Avant de poster un contenu en ligne, évaluez attentivement ses conséquences éventuelles en termes de légalité ou de réputation.

Extraits du livre blanc Bitdefender sur la sécurité Facebook

Les amis, les ennemis et Facebook : la nouvelle lutte contre les escrocs
GEORGE PETRE, TUDOR FLORESCU, IOANA JELEA

À propos de poltechno

Avec l'âge on radote et on parle tout seul... Comme il n'y a plus de bistrot dans mon quartier je me suis créé un bout de comptoir virtuel sur le Net histoire de refaire le monde...

Publié le 29/11/2011, dans Internet, Nouvelles Technologies, Société, et tagué , , , . Bookmarquez ce permalien. 2 Commentaires.

  1. Je suis la pire bécasse du MOOONNDE!! Je vais pour supprimer des applications totalement naze et je tombe sur quel homme d’état êtes-vous? Je vois une déco scientologue et pas ce que j’avais mis la fois précédente. Et la déco. Je fonce. Je suis ouf de chez ouf!! enfin la seule consolation c’est… qu’il y a…. pire. Navrée un peu pour toi qui es mon frère.

    J'aime

  2. J’ai fait l’objet d’une arnaque sur le site de rencontre meetic par un certain marveau alain qui au début me disait habiter à Auxerre dans le 89 puis au bout de quelques semaine il part en Afrique pour affaire et c’est la que mon cauchemar commence. Il m’a arnaquer d’une somme de 8673€ mais grace aux agents de la police lutte anti arnaque sur le net en Afrique , cet escroc a été arrêter puis j’ai récupérer tout mon argent, vous pouvez faire de même si vous avez été arnaquer de cette manière, voici leur adresse mail:

    interpol.service.antiarnaque@gmail.com

    faites attention aux faux profils sur les sites de rencontre.

    J'aime

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s

%d blogueurs aiment cette page :