Incidents associés
Les réseaux sociaux sont largement utilisés en marketing, permettant aux entreprises de générer des publicités qui attirent des clients potentiels. Mais que se passerait-il si vous receviez un e-mail indiquant : « VOS ANNONCES SONT TEMPORAIREMENT SUSPENDUES » ? Que feriez-vous ? L’urgence de l’e-mail attire immédiatement votre attention, et votre première réaction pourrait être de cliquer et de vérifier, en espérant une résolution rapide. Cependant, au lieu de résoudre le problème, votre compte professionnel pourrait être piraté. Le Centre de défense anti-hameçonnage Cofense (PDC) a découvert une nouvelle campagne de phishing qui incite les utilisateurs à donner accès à leurs comptes Meta Business. Si les tentatives de phishing sur les réseaux sociaux sont courantes, celle-ci a dépassé les bornes en utilisant une fausse assistance par chat, en fournissant des instructions détaillées et en tentant de se faire inscrire comme méthode de connexion sécurisée. 
Figure 1 : E-mail malveillant
La campagne d'hameçonnage commence par la réception par la victime d'une fausse alerte Instagram intitulée « ID d'assistance : #xxxx - Restrictions publicitaires critiques sur votre compte », comme illustré à la Figure 1. L'alerte indique que l'utilisateur a enfreint les lois sur la publicité, mentionne les politiques d'Instagram et le RGPD de l'UE, et que les publicités sont suspendues en conséquence. Ce phénomène est fréquent avec les e-mails d'hameçonnage d'usurpation d'identifiants Instagram/Meta. L'utilisateur est invité à cliquer sur le bouton « Voir plus de détails » pour résoudre ce problème. On comprend aisément comment cela peut tromper les utilisateurs, d'autant plus que de plus en plus d'entreprises utilisent les réseaux sociaux pour leurs publicités. Cela constitue une préoccupation sérieuse et urgente, car cela peut perturber les activités quotidiennes des entreprises et leur faire perdre des clients potentiels. Il est toutefois important de noter que l'adresse de ne provient pas de l'adresse e-mail officielle du support Instagram (support@instagram[.]com), mais de (noreply@salesforce[.]com). En cliquant sur le lien « Voir plus d'informations » dans l'e-mail, les utilisateurs sont redirigés vers une page frauduleuse les informant que leur compte risque d'être suspendu et résilié, comme illustré dans la figure 2 ci-dessous. En comparant cela à une page Meta Business légitime, la plupart des utilisateurs penseront qu'il n'y a rien d'anormal. Cependant, une vérification plus approfondie de l'URL dans la barre d'adresse du navigateur révèle qu'ils ne se trouvent pas sur un domaine Meta légitime, mais plutôt sur (businesshelp-manager[.]com).
Figure 2 : Page de destination de l'URL d'infection initiale
Après avoir cliqué sur le bouton « Demander un avis », l'utilisateur est invité à saisir son nom et son adresse e-mail professionnelle pour être mis en relation avec un agent d'assistance par chat, comme illustré dans les figures 3 et 4 ci-dessous. L'utilisateur est ensuite redirigé vers une autre page où se déroule la suite de la tentative d'hameçonnage. D'après notre analyse, le pirate informatique cherche à pirater les comptes Meta professionnels en s'enregistrant comme « Connexion sécurisée » via l'application d'authentification de Meta. Il utilise deux méthodes : un faux chatbot d'assistance technique ou un prétendu « guide d'installation » avec des instructions détaillées.
Figure 3 : Page d'accueil - Formulaire d'informations sur le chatbot
Figure 4 : Chatbot - Conversation initiale, partie 1
L'acteur de la menace (AT) fournit également un guide d'instructions pour l'ajout de l'authentification à deux facteurs (2FA) au compte professionnel de l'utilisateur, comme illustré dans la figure 5 ci-dessous. Il s'agit d'une méthode secondaire de prise de contrôle de compte utilisée par l'agent technique en cas d'échec de la tentative d'hameçonnage par chatbot. Cette méthode imite une méthode de réparation automatique du compte utilisateur. Pour y accéder, cliquez sur « Afficher l'état du compte » (au milieu à droite de la page) pour obtenir des instructions détaillées sur la manière de lancer une « Vérification du système » et de résoudre le problème vous-même. L'utilisateur résout ainsi son compte plus rapidement qu'avec un chatbot d'assistance. Cependant, en reproduisant les étapes indiquées, l'attaquant dispose d'un autre moyen de se connecter au compte Business Meta via son application d'authentification, appelée « VÉRIFICATION DU SYSTÈME », offrant ainsi à l'acteur malveillant plusieurs moyens de pirater le compte.*
*
* 
*
Figure 5 : Instructions étape par étape pour l'ajout de l'authentification à deux facteurs (2FA)
Lors de nos tests, nous avons pu obtenir une copie de la vidéo d'instructions du pirate, détaillant comment il incite l'utilisateur à utiliser l'authentification à deux facteurs (2FA), comme illustré ci-dessous.
La principale tactique utilisée par cette campagne de phishing pour voler les utilisateurs consiste à utiliser un faux chatbot d'assistance. Si les victimes choisissent de discuter avec ce faux client d'assistance, on leur demande d'abord des informations sur leurs comptes professionnels. L'attaquant demande même des captures d'écran de ces comptes, peut-être pour filtrer les victimes. S'il le juge nécessaire, il explique à la victime comment effectuer une « VÉRIFICATION DU SYSTÈME ». Le dialogue initial du chat d'assistance est illustré à la figure 6 ci-dessous. Par mesure de sécurité, l'agent demande également un numéro de téléphone en cas de coupure de la communication. Si la victime continue à utiliser le faux chat d'assistance, elle est invitée à accéder aux paramètres de sa page professionnelle sur Facebook et à fournir une capture d'écran. L'agent explique ensuite que l'utilisateur a enfreint certaines règles publicitaires et qu'il risque d'être suspendu. L'agent demande ensuite à l'utilisateur de confirmer ses informations personnelles et de fournir des captures d'écran de sa page d'informations personnelles. Les figures 7 et 8 ci-dessous illustrent le déroulement d'une conversation typique.
Figure 6 : Chatbot - Conversation initiale, partie 2
.PNG "metablog_Figure-6-(1).PNG")
Figure 7 : Chatbot - Page Entreprise Capture d'écran
Figure 8 : Chatbot – Capture d'écran du motif du signalement et des informations personnelles
Après avoir suivi les instructions du chat, l'utilisateur est invité à cliquer sur « Activer la vérification du système ». En cliquant sur ce bouton, la page se recharge et l'utilisateur est invité à saisir son mot de passe Facebook, comme illustré aux figures 9 et 10 ci-dessous.
*Figure 9 : Chatbot – Activer la vérification du système
*
.PNG "metablog_Figure-10-(2).PNG")
Figure 10 : Page de méta-hameçonnage
Cette campagne d'hameçonnage nous rappelle avec force l'évolution des menaces auxquelles les entreprises sont confrontées pour sécuriser leurs identifiants sur les réseaux sociaux. Les utilisateurs doivent faire preuve de prudence et vérifier toutes les communications avant de répondre. La campagne témoigne d'une grande attention portée aux détails, avec des e-mails et des pages de destination qui ressemblent beaucoup à des communications authentiques. De plus, l'intégration d'un support en direct ajoute une couche de tromperie supplémentaire, faisant croire aux utilisateurs qu'ils interagissent avec l'équipe d'assistance officielle de Meta. Prenez toujours le temps de vérifier l'expéditeur et d'examiner attentivement l'URL avant toute action. Face à l'évolution constante des tactiques d'hameçonnage, il est crucial que les utilisateurs restent vigilants et signalent rapidement toute activité suspecte afin d'éviter tout dommage potentiel.