Des pirates vietnamiens ont détourné les outils de Google pour voler 30 000 comptes Facebook à travers le monde. Pour appâter les victimes, les hackers prétextent des violations de droits d’auteur ou un compte qui sera bientôt suspendu.
Des chercheurs en sécurité de Guardio Labs ont découvert une vaste opération malveillante, baptisée « AccountDumpling ». La cyberattaque commence par la réception d’un e-mail d’urgence, indiquant que « votre compte Facebook a été signalé pour violation de politique » et que « sans réponse sous 24 heures, il sera définitivement désactivé ».
Ce mail s’affiche dans votre boîte principale en contournant les filtres de spams de votre messagerie. Comme le soulignent les chercheurs, le mail provient des serveurs de Google. En fait, les pirates ont exploité Google AppSheet, un outil officiel de Google permettant de créer des applications sans coder, pour envoyer des mails depuis un serveur du groupe. L’outil dispose en effet d’un système de notifications qui envoie des e-mails depuis l’adresse « [email protected] », directement par le biais des serveurs de Google. En utilisant ce service légitime, les pirates parviennent à envoyer des mails qui passent sans le moindre problème les contrôles de sécurité des messageries. Aux yeux des filtres antispam, « ces messages sont traités comme des communications de confiance », expliquent les chercheurs de MalwareBytes, qui relaient la découverte de Guardio Labs.
À lire aussi : Une cyberattaque russe a compromis des centaines de comptes Signal
Fausses pages Facebook et PDG piégé sur Google Drive
Dans la plupart des cas, les mails contiennent des alertes pour violation de droits d’auteur, une suspension de compte, ou une désactivation imminente. Si la victime commet l’erreur de cliquer sur le lien glissé dans le mail, elle tombe sur une page web frauduleuse qui copie le Centre d’aide Facebook, hébergée sur Netlify, une plateforme d’hébergement web légitime. Sans surprise, la fausse page ne va pas tarder à réclamer les identifiants du compte Facebook, dont le mot de passe. Dans la foulée, les pirates demandent aussi la date de naissance, le numéro de téléphone et des photos de carte d’identité. Avec toutes ces données, il est possible d’éjecter la victime hors de son propre compte.
Les chercheurs ont aussi épinglé des mails piégés mettant en avant le badge bleu de vérification, des récompenses pour les annonceurs, ou encore l’opportunité de faire vérifier son compte. Dans ces mails, des pages factices sont taillées pour collecter jusqu’à trois codes d’authentification à deux facteurs. Enfin, certains mails contiennent un PDF hébergé sur Google Drive. Soigneusement mis en page, le PDF imite une notification officielle de Meta, avec le logo officiel de l’entreprise. À l’intérieur du PDF se trouve un bouton ou un lien cliquable vers un panneau de contrôle en temps réel, chargé de s’emparer de votre code d’authentification à deux facteurs et de votre mot de passe.
Un oubli divulgue l’identité du cybercriminel
Guardio Labs a pu remonter jusqu’au commanditaire de la cyberattaque. Celui-ci a en effet oublié d’effacer les métadonnées du fichier PDF utilisé dans l’arnaque. Les métadonnées, analysées par les chercheurs, montrent que le document a été créé sur Canva par un pirate du nom de Phạm Tài Tân. Les chercheurs ont alors débusqué le cybercriminel sur Facebook et sur son site web officiel. Notez que le voleur de comptes Facebook propose des services « d’aide à la récupération de comptes Facebook ».
L’infrastructure de l’opération repose sur des bots Telegram qui récupèrent les données volées en temps réel, les trient et les transmettent aux pirates. En croisant les données de quatre bots identifiés, Guardio a dénombré environ 30 000 victimes dans plus de 50 pays, dont 68,6% aux États-Unis.
À lire aussi : Nouveau scandale Facebook – des milliers de photos privées ont été compromises
Publicités frauduleuses et usurpation d’identité
Les chercheurs ont mis en lumière une véritable infrastructure criminelle, composée d’un créateur de kits de phishing, d’un pirate chargé de lancer l’attaque, et d’une plateforme conçue pour mettre en vente les comptes volés. Ces comptes peuvent être revendus sur d’autres marchés noirs, ou servir à diffuser des publicités frauduleuses. Des tentatives d’usurpation d’identité peuvent aussi être orchestrées à l’aide de votre compte Facebook. Plusieurs victimes, contactées directement par Guardio Labs, ont signalé des transactions frauduleuses sur leurs cartes bancaires. C’est la preuve qu’un simple vol de comptes Facebook peut avoir, de fil en aiguille, des conséquences désastreuses.
« Ce que nous avons cartographié ressemble moins à une campagne qu’à une chaîne d’approvisionnement : l’accès est récolté, les comptes sont piratés, et la récupération elle-même est revendue. Chaque étape alimente la suivante », explique le rapport de Guardio Labs.
Si vous recevez un e-mail urgent concernant votre compte Facebook, même s’il semble provenir d’une adresse Google, ne cliquez sur rien. Rappelez-vous que Facebook ne vous contacte jamais via une adresse Google. Rendez-vous directement sur le site officiel de Facebook, ou sur l’application, et consultez vos notifications. Enfin, si un formulaire vous réclame simultanément votre mot de passe, plusieurs codes d’authentification et une pièce d’identité, il s’agit vraisemblablement d’une arnaque. On vous recommande d’activer les alertes de connexion Facebook, et de remplacer l’authentification par SMS par une application dédiée à la double authentification, comme Google Authenticator, qui repose sur l’envoi d’un code.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.
Source :
Guardio Labs