Quand un Phishing Facebook coûte plus de 3 000€ à sa victime

Posted On 16 Nov 2017

Tag: banque, filoutage, hameçonnage, infiltration

Le phishing Facebook, je vous en parle très souvent. Une cyber attaque toute bête et qui pourtant fait encore des ravages aujourd’hui. Le gérant d’une société vient d’en faire les frais. Il n’aurait jamais pensé qu’un filoutage aux couleurs de Facebook lui coûterait plus de 3 000€ en quelques heures !

L’attaque est classique, mille fois utilisée pour un phishing Facebook. Un phishing, ou encore filoutage, hameçonnage est un courriel, aux couleurs d’un Fournisseur d’Accès à Internet, d’une banque, d’un réseau social. Mission, vous réclamer vos identifiants de connexion, vos données bancaires ou tout simplement vos informations personnelles : adresse, téléphone, …

Finalité du malveillant, récolter de la donnée qui lui permettront d’en retirer de l’argent.

François, je l’appellerai ainsi, est un chef d’entreprise Français d’une trentaine d’années. Il vit dans les Hauts de France. Sa société fonctionne bien, forte d’une quinzaine d’employés. Son business, vendre des produits frais et bio. Le web est un de ses outils avec une boutique, des espaces de réseautage.

Sur Facebook, François vante les produits qu’il commercialise. Deux fois par mois, il organise des campagnes publicitaires via l’outil dédié de Facebook. Vous savez, le même service publicitaire qui a permis à « des Russes » de lancer des « fakes news » durant les élections américaines, françaises, ou encore capable de vanter des produits douteux en expliquant la mort de Yannick Noah ou encore d’Omar Sy.

Ok ! Donc #facebook traque les "fakes news" mais continue d'accepter l'argent des sponsors véreux ! #cybersécurité @zataz @OmarSy pic.twitter.com/3OwIrZHkvg

— Damien Bancal (@Damien_Bancal) April 15, 2017

Mais quel rapport entre l’artiste de cinéma, le sportif chanteur et François allez-vous me demander ?

Phishing Facebook : quand le piège se referme sur la donnée bancaire

Comme de nombreux utilisateurs du service publicitaire de Facebook, il est possible de lancer une campagne à quelques clics de souris. Sélectionner la cible, les dates de diffusion, les régions, les villes … que l’annonceur souhaite toucher. Côté paiement, Facebook propose d’enregistrer sa carte bancaire ou encore un compte Paypal. Pour faciliter la création de campagne, plus besoin de rentrer les précieux plusieurs fois. Vous cliquez, c’est diffusé. Sauf que, vous commencez à le comprendre, le piège se referme ici.

Quand le phishing Facebook cache plusieurs sous malveillances

François m’appelle en urgence, il vient de découvrir que Facebook le facture d’une campagne publicitaire qu’il n’a pas orchestrée. Le montant est faramineux. Plus de 3 000 euros. « J’ai reçu trois messages de Facebook m’indiquant le montant des campagnes en cours. Sauf que je ne suis pas l’instigateur des publicités et que je suis incapable de les arrêter !« .

Le compte de François a été pris en main, voilà plusieurs semaines, à partir d’un phishing « tout simple« , aux couleurs du « Gestionnaire de Pages » de Facebook. Un phishing qui semble viser les PME, organisatrices de campagnes publicitaires sur les réseaux sociaux. « J’avoue, je me suis trouvé totalement désemparé, me confirme François. Impossible de joindre quelqu’un chez Facebook. Impossible de stopper la campagne. Ma seule solution aura été de faire opposition à ma carte bancaire.«

Pour François, le pirate a exploité son espace afin de vanter une boutique de contrefaçons de chaussure de sport. Plus de 3 000€ de campagnes publicitaires malveillantes, sans que Facebook ne découvre la « fake ads » et retire l’annonce. Pour rappel, le géant du réseautage indique vérifier avant validation toutes publicités passant par ses pages. Pour François, les publicités ont été diffusées sur Instagram.

Phishing Facebook : que faire ?

J’ai conseillé à François de déposer plainte auprès des autorités compétentes ; de revoir l’intégralité de son compte Facebook : le pirate a-t-il installé de faux « amis » afin de revenir ? Changer son mot de passe, le numéro de téléphone ; installer la double authentification ; retirer toutes les applications connectées à son compte Facebook ; et d’autres conseils que j’ai pu indiquer ICI.

Du côté de Facebook, silence total ! J’ai bien peur que les sommes réclamées par le géant américain ne soient dues. Une récente jurisprudence française indique que les victimes de phishing sont responsables de ce qu’il vient de leur arriver et qu’elles ne peuvent être remboursées.

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.