Quand un Phishing Facebook coûte plus de 3 000€ à sa victime
Le phishing Facebook, je vous en parle très souvent. Une cyber attaque toute bête et qui pourtant fait encore des ravages aujourd’hui. Le gérant d’une société vient d’en faire les frais. Il n’aurait jamais pensé qu’un filoutage aux couleurs de Facebook lui coûterait plus de 3 000€ en quelques heures !
L’attaque est classique, mille fois utilisée pour un phishing Facebook. Un phishing, ou encore filoutage, hameçonnage est un courriel, aux couleurs d’un Fournisseur d’Accès à Internet, d’une banque, d’un réseau social. Mission, vous réclamer vos identifiants de connexion, vos données bancaires ou tout simplement vos informations personnelles : adresse, téléphone, …
Finalité du malveillant, récolter de la donnée qui lui permettront d’en retirer de l’argent.
François, je l’appellerai ainsi, est un chef d’entreprise Français d’une trentaine d’années. Il vit dans les Hauts de France. Sa société fonctionne bien, forte d’une quinzaine d’employés. Son business, vendre des produits frais et bio. Le web est un de ses outils avec une boutique, des espaces de réseautage.
Sur Facebook, François vante les produits qu’il commercialise. Deux fois par mois, il organise des campagnes publicitaires via l’outil dédié de Facebook. Vous savez, le même service publicitaire qui a permis à « des Russes » de lancer des « fakes news » durant les élections américaines, françaises, ou encore capable de vanter des produits douteux en expliquant la mort de Yannick Noah ou encore d’Omar Sy.
Ok ! Donc #facebook traque les "fakes news" mais continue d'accepter l'argent des sponsors véreux ! #cybersécurité @zataz @OmarSy pic.twitter.com/3OwIrZHkvg
— Damien Bancal (@Damien_Bancal) April 15, 2017
Mais quel rapport entre l’artiste de cinéma, le sportif chanteur et François allez-vous me demander ?
Phishing Facebook : quand le piège se referme sur la donnée bancaire
Comme de nombreux utilisateurs du service publicitaire de Facebook, il est possible de lancer une campagne à quelques clics de souris. Sélectionner la cible, les dates de diffusion, les régions, les villes … que l’annonceur souhaite toucher. Côté paiement, Facebook propose d’enregistrer sa carte bancaire ou encore un compte Paypal. Pour faciliter la création de campagne, plus besoin de rentrer les précieux plusieurs fois. Vous cliquez, c’est diffusé. Sauf que, vous commencez à le comprendre, le piège se referme ici.
Quand le phishing Facebook cache plusieurs sous malveillances
François m’appelle en urgence, il vient de découvrir que Facebook le facture d’une campagne publicitaire qu’il n’a pas orchestrée. Le montant est faramineux. Plus de 3 000 euros. « J’ai reçu trois messages de Facebook m’indiquant le montant des campagnes en cours. Sauf que je ne suis pas l’instigateur des publicités et que je suis incapable de les arrêter !« .
Le compte de François a été pris en main, voilà plusieurs semaines, à partir d’un phishing « tout simple« , aux couleurs du « Gestionnaire de Pages » de Facebook. Un phishing qui semble viser les PME, organisatrices de campagnes publicitaires sur les réseaux sociaux. « J’avoue, je me suis trouvé totalement désemparé, me confirme François. Impossible de joindre quelqu’un chez Facebook. Impossible de stopper la campagne. Ma seule solution aura été de faire opposition à ma carte bancaire.«
Pour François, le pirate a exploité son espace afin de vanter une boutique de contrefaçons de chaussure de sport. Plus de 3 000€ de campagnes publicitaires malveillantes, sans que Facebook ne découvre la « fake ads » et retire l’annonce. Pour rappel, le géant du réseautage indique vérifier avant validation toutes publicités passant par ses pages. Pour François, les publicités ont été diffusées sur Instagram.
Phishing Facebook : que faire ?
J’ai conseillé à François de déposer plainte auprès des autorités compétentes ; de revoir l’intégralité de son compte Facebook : le pirate a-t-il installé de faux « amis » afin de revenir ? Changer son mot de passe, le numéro de téléphone ; installer la double authentification ; retirer toutes les applications connectées à son compte Facebook ; et d’autres conseils que j’ai pu indiquer ICI.
Du côté de Facebook, silence total ! J’ai bien peur que les sommes réclamées par le géant américain ne soient dues. Une récente jurisprudence française indique que les victimes de phishing sont responsables de ce qu’il vient de leur arriver et qu’elles ne peuvent être remboursées.