Une attaque de phishing ciblant les utilisateurs francophones de Facebook a été identifiée par les experts de Panda Security.
Au vu des copies d'écran disponibles sur le blog de PandaLabs [1], on peut dire que les attaquants se sont donné de bonnes chances de collecter un maximum d'informations personnelles : La page web mise en place a un look&feel de qualité et n'est pas truffée de fautes d'orthographes...
Au moment ou j'écris ces lignes, le site est d'ailleurs toujours actif (J'ai notifié l'hébergeur).
Même le nom de domaine "http://www.facebook-online.com/" est par ailleurs assez redoutable : on est loin d'un hébergement sur une page personnelle utilisant une URL longue comme le bras...
Le seul indice qui pourrait éveiller les soupçons : L'encodage de quelques caractères accentués qui laisse un peu à désirer, du moins depuis mon poste (ce n'est pas le cas sur le screenshots de PandaLabs). Cela reste assez maigre, le piège est bien de qualité.
Certains poseront la question "Quel intérêt y-a-t-il à voler des comptes de connexion FaceBook ?". Les motivations sont assez simples : Collecter des adresses mails pour envoyer du spam ou diffuser des malwares en tout genre... Ces comptes pourraient aussi être utilisés pour lancer des attaques d'ingénierie sociales en tant que telles, mais cela reste moins vraisemblable.
Nota: Si vous tentez de vous connecter à ce site via Firefox, vous aurez le droit à un beau "Warning" indiquant qu'il s'agit d'un site de phishing... Simple & efficace.
[1] - PandaLabs Blog, Facebook Phishing Site Targets French Users, February 5, 2009
Nous sommes Vendredi 6 Février, il est 11:08AM, le site web http://www.face-book-online.com/ vient d'être coupé.
Pour un screenshot, allez sur le blog de PandaLabs !!
Il est 13:48 et le site est de nouveau on-line !!! Après-une première analyse, celui-ci a mis à jour la zone facebook-online.com afin de changer de serveurs DNS et de faire pointer le site vers un autre hébergeur. Ce dernier à été informé.
Ai proposé une mesure pour arrêter ce petit jeu : A suivre. Vous en saurez plus dans un futur bulletin (Car pour le moment, l'incident est toujours en cours, je ne communiquerait donc pas d'infos qui pourraient aider l'attaquant).
Bonjour JF,
Nous avions également signalé et demandé une fermeture de l'hébergement, ce que nous avons finalement obtenu dans de bons délais - bravo à l'équipe technique d'Aznet/Hiwit.
http://mad.internetpol.fr/archives/22-DANGER-Hameconnage-Facebook,-la-France-est-visee..html
En revanche nous n'avons eu aucun echo sur le domaine que vous citez dans vos réponses: "face-book-online.com", auriez-vous conservé les informations whois ?
Merci !
Bonjour Matt.
Effectivement, la situation est rentrée dans l'ordre ce week-end. Un bravo tant pour les personnes de NordNet et celles d'Aenet/Hiwit qui ont été réactives !
Effectivement, j'ai conservé des impressions PDF des informations WHOIS : Je vous envoie les fichiers par mail dans quelques minutes. En espérant que c'est bien cela que vous recherchez !
J'en profite pour saluer votre blog "Malware Analysis & Diagnostic" que je viens de découvrir ; ce type de contenu en français étant assez rare...
"Malware Analysis & Diagnostic" Blog : http://mad.internetpol.fr/
Facebook est un réseau antisocial qui n'aime guère que l'on se fasse trop d'amis, et aux pratiques démocratiques plus que douteuses..
La preuve ici : http://gauchedecombat.wordpress.com/2009/05/17/fesse-de-boucs-le-reseau-anti-social/