Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

Non, vous ne pouvez (toujours) pas savoir qui consulte votre profil Facebook

auteur de l'article Jerome Saiz , dans la rubrique Menaces

Commentaires Commentaires fermés sur Non, vous ne pouvez (toujours) pas savoir qui consulte votre profil Facebook

Facebook, vers et virus

Mise à jour : nous avons publié une analyse plus poussée d’une autre arnaque Facebook, dans laquelle vous pouvez perdre de l’argent. Pensez à aller consulter également cet article pour vraiment découvrir comment ça marche !

La dernière escroquerie en date à se propager sur Facebook offrait aux utilisateurs du réseau social de découvrir qui parmi leurs amis visitait le plus leur profil. La promesse n’a rien de nouveau, et elle est régulièrement exploitée dans nombre d’arnaques Facebook depuis très longtemps (et pour mémoire, c’est toujours impossible !)

C’est pourquoi lorsque nous avons assisté il y a tout juste deux jours à la propagation virale d’une nouvelle arnaque de ce type sur les murs des Facebookiens, nous étions plutôt incrédules. Qui peut bien encore se faire avoir par une telle fausse proposition usée jusqu’à la corde ? Beaucoup de monde, semble-t-il ! Mais ce n’est pas le plus inquiétant, loin de là !

L’arnaque était relativement bien montée. La première étape consistait à visiter une URL (hors du domaine Facebook bien entendu) qui présentait le concept : en copiant-collant un bout de texte dans la barre de son navigateur web, et en pressant « Entrée », on allait découvrir qui visitait notre profil Facebook.

Mais ce « bout de texte » n’avait rien d’anodin : il s’agissait en réalité d’un script Javascript qui allait bien entendu s’exécuter dans le contexte de la session Facebook active. Si l’idée que des utilisateurs puissent être assez naïfs (ou stupides…) pour docilement copier-coller n’importe quel script dans leur barre de navigation vous effraie, vous avez bien raison.

Une fois exécuté, le Javascript commençait par créer un événement Facebook sous l’identité de sa victime et y inviter ses amis. La description de l’événement contenait bien entendu un lien vers la suite du programme. En parallèle, le mur de la victime s’émaillait rapidement de messages sibyllins (voir ci-dessous), qui citaient plusieurs amis au hasard afin de les interpeller. Là aussi, un lien conduisait vers l’étape suivante de l’arnaque.

Voici les messages susceptibles d’être affichés sur le mur ou dans les événements créés par le ver :

  • Salut %firstname%  Je viens de decouvrir que vous etiez un de mes spectateurs profil haut, vous pouvez trouver votre exemplaire a [lien retiré]
  • wtf guys, vous est apparu comme le peuple qui m’a le plus traque, vous pouvez voir votre exemplaire a [lien retiré]
  • J’ai appris une façon de voir qui consulte votre profil. Suivez ces étapes simples pour trouver: tout ce que vous avez à faire est d’aller sur ce lien et suivez les instructions [lien retiré]

Tous ces liens conduisaient plus ou moins directement à une page censée vous montrer quels amis visitent le plus souvent votre profil. Mais puisque cela est techniquement impossible, les escrocs présentent à la place une fausse page où les noms et les images des amis supposés sont floutés (voir ci-dessous).

Voir qui visite votre profil

La dernière page de l'arnaque : on retrouve les inévitables sondages.

Et c’est là que se referme l’arnaque : afin de « dé-flouter » la page il faut répondre à un questionnaire, « pour prouver que vous êtes humain » indiquent même non sans culot les escrocs. Et, cerise sur le gâteau, il y a même une chance de gagner un iPhone !

Bien entendu les seuls à gagner quoi que ce soit ici sont les escrocs derrière cette arnaque, car ils sont rémunérés pour chaque sondage rempli par un internaute (rappelons que si le sondage est rempli via une application Facebook que l’utilisateur autorise sur son profil, celle-ci peut également collecter nombre d’informations personnelles à son sujet).

Au risque de nous répéter, il est impossible de savoir qui visite votre profil sur Facebook. Quiconque vous oblige à « prouver » quoi que ce soit, ou vous demande de remplir un questionnaire, est très probablement entrain de vous escroquer.

Quant aux RSSI qui nous lisent… oui, il s’agit aussi de vos utilisateurs… Avez-vous pensez à les re-sensibiliser récemment ?


Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

Les commentaires sont fermés.

Catégories

Étiquettes

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.