Tous les chemins mènent à Profile Peeker... le retour

 

Nous avons déjà vu que le modèle d’arnaque sur Facebook fonctionnait également sur Twitter. A ce sujet, nous avons pu prouver, non seulement que le même appât – « combien de temps avez-vous passé sur [insérer la plateforme selon l’attaque] » – fonctionnait à merveille au sein des deux environnements, mais aussi que le compte à partir duquel l’arnaque était lancée avait déjà été utilisé auparavant sur Facebook pour diffuser du contenu malveillant. La question qui se pose est de savoir comment les utilisateurs de Facebook et de Twitter se retrouvent de nouveau ensemble dans la ligne de mire des pirates ?

Les derniers descendants de « Voir ceux qui ont regardé votre profil » disséminés secrètement sur Twitter font complètement l’impasse sur l’ingénierie sociale. Il semble que certains créateurs de fausses applications aient abandonné les enfantillages, tels que « oué sa marche vrément !!!!, préférant ainsi lancer l’application « officielle » ou simplement en essayant de redonner vie à l’application en la rebaptisant : Voir qui vous observe, Voir qui était l’an dernier votre plus grand admirateur, Voir les avis sur votre profil, etc.

Ces escroc originaux s’en remettent au hasard, en suivant cette recette simple :

1. Créer plusieurs comptes Twitter (des noms aléatoires ne créeront aucune suspicion)
2. Fabriquer (au hasard) une liste d’utilisateurs Twitter
3. Envoyer à tous (au hasard) des messages directs avec un lien, comme par exemple :

@exemple1 LoL! [lien]/ @exemple2  je suis rentré [lien]/@exemple3 je viens de manger [lien]

Si les victimes cliquent sur le lien, ils seront dirigés vers une autre page Facebook du Mateur de profils :

 

Est-ce que ça marche ? Oui mais le système a ses limites. Etant donné que le message initial envoyé aux potentielles victimes n’a aucun rapport avec le sujet du  « mateur de profils », les utilisateurs peuvent effectivement être plus enclins à cliquer sur le lien. De plus, il est difficile de saisir la logique utilisée pour générer ces messages. En revanche, le dessein de la page Facebook de l’application devrait être facilement identifié. Et c’est ici que la tendance du « zéro ingénierie sociale » s’effondre.

Bien que cette expérience demeure inefficace, n’oubliez pas de faire attention aux liens sur lesquels vous cliquez !

Cet article est basé sur les informations techniques fournies par Tudor Florescu, spécialiste des e-menaces chez Bitdefender.

Tous les noms de produits et de sociétés cités dans ce texte ne le sont qu’à titre informatif et appartiennent à, ou peuvent être des marques déposées de, leurs propriétaires respectifs.