Publicité
Ceux qui ne font pas attention sont souvent les premiers à succomber à de nouveaux hacks et escroqueries - et si vous utilisez régulièrement Facebook, ce qui est plus probable qu'improbable, vous devrez peut-être commencer à payer plus attention.
Cela est particulièrement vrai si vous préférez le mobile au bureau.
Les escrocs, ayant constaté que le trafic mobile est désormais supérieur au trafic PC à l'échelle mondiale, commencent à adapter leurs techniques pour profiter des utilisateurs mobiles. Et vu que les appareils mobiles ont tendance à être moins protégés que les PC, c'est une décision gagnante pour eux.
Continuez votre lecture pour en savoir plus sur le fonctionnement de cette nouvelle technique d'escroquerie, les éléments à surveiller et les moyens de rester en sécurité à l'avenir.
Fonctionnement de l'arnaque de connexion à Facebook
L'arnaque utilise une technique appelée Remplissage d'URL. Une URL typique est composée de trois parties:
- Un domaine (obligatoire)
http: //facebook.com/photo.php? fbid = 123456 - Un sous-domaine (facultatif)
http: //m.facebook.com / photo.php? fbid = 123456 - Un chemin (facultatif)
http://m.facebook.com/photo.php? fbid = 123456
En tant qu'utilisateur mobile, vous avez sans aucun doute vu m.facebook.com dans la barre d'adresse de votre navigateur lorsque vous utilisez Facebook. Il s'agit de la combinaison sous-domaine + domaine qui montre que vous êtes sur la version mobile du site Facebook. Quand vous le voyez, vous vous sentez en sécurité.
Le remplissage d'URL est lorsqu'un escroc crée un sous-domaine sur un domaine entièrement différent pour usurper l'identité de certains site, et "garnit" le sous-domaine avec des caractères inoffensifs pour faire croire aux utilisateurs qu'ils site.
Voici un exemple d'URL de PhishLabs:
http://m.facebook.comvalidatestep1.rickytaylk.com/sign_in.htmlLa visite du site vous présente une réplique exacte de la version mobile réelle de la page d'accueil de Facebook, vous demandant de saisir vos informations d'identification afin que vous puissiez vous connecter. Un utilisateur averti mais inattentif peut jeter un œil à l'URL, voir m.facebook.com, considérez la côte claire et connectez-vous.
Une fois que vous avez entré vos informations d'identification, le jeu est terminé. Le site présentera une erreur discrète (par exemple, une incompatibilité de mot de passe) mais le dommage sera déjà fait: ils ont stocké votre nom d'utilisateur et mot de passe, et peut désormais accéder à votre véritable compte Facebook ou utiliser ces informations d'identification pour tenter de pénétrer dans vos autres comptes: Gmail, Amazon, PayPal, banques, etc.
Les lecteurs passionnés noteront que le domaine réel de cette URL suspecte est rickytaylk.com et il contient trois sous-domaines imbriqués:
comvalidatestep1Facebookm
Vous le verriez probablement comme une URL manifestement frauduleuse si vous le rencontriez sur un PC, mais voici ce qu'un utilisateur mobile verrait:
Les URL rembourrées peuvent être envoyées par toutes sortes de méthodes de communication: e-mail, messages texte, applications de messagerie, etc.
Ce qui est triste, c'est que les fausses URL n'ont rien de nouveau. Plus tôt cette année, un exploit a été découvert dans Chrome (et d'autres navigateurs basés sur Chromium) où les URL pouvaient être modifiées pour apparaître comme d'autres URL. Heureusement, le bogue a été corrigé avant que les escrocs ne puissent aller en ville avec, mais montre que faire confiance à une URL n'est rien d'autre insensé.
Comment sécuriser votre compte Facebook
La seule façon de se prémunir contre une URL remplie consiste à apprendre à repérer les messages de phishing et, plus important encore, à ne visiter que les sites Web sensibles en tapant des domaines directement dans la barre d'URL de votre navigateur.
C’est un inconvénient mineur, mais qui en vaut la peine. Je le fais tout le temps, en particulier lors de la vérification des comptes bancaires et de l'utilisation des sites de commerce électronique. Au fil du temps, ce sera une seconde nature et votre taux d'arnaque chutera.
Et si vous en êtes déjà tombé amoureux? Ou si quelqu'un, par un autre moyen, met la main sur vos identifiants de connexion Facebook? Voici quelques mesures supplémentaires que vous pouvez prendre pour rester en sécurité.
Utilisez des mots de passe uniques
L'une des pires erreurs de mot de passe consiste à utiliser le même mot de passe pour tous vos comptes.
Vous savez comment la plupart des services nécessitent un e-mail pour s'inscrire? Eh bien, si vous êtes comme la plupart des gens, vous utilisez la même adresse e-mail pour tous les services. Dans ce cas, si quelqu'un trouve votre mot de passe pour une compte, puis ils ont maintenant par inadvertance accès à tout de vos comptes.
En utilisant un mot de passe distinct pour chaque compte et en ne les répétant jamais, vous pouvez limiter considérablement les dommages. Vous ne pensez pas que vous pouvez garder tous ces mots de passe directement dans votre tête? Commencez à utiliser un gestionnaire de mots de passe comme LastPass 5 meilleures alternatives LastPass pour gérer vos mots de passeBeaucoup de gens considèrent LastPass comme le roi des gestionnaires de mots de passe; il regorge de fonctionnalités et compte plus d'utilisateurs que n'importe lequel de ses concurrents - mais c'est loin d'être la seule option! Lire la suite et vous n'aurez plus jamais à vous soucier des mots de passe.
Utiliser les approbations et les codes de connexion
Peut-être que la meilleure chose que vous puissiez faire pour votre sécurité Facebook est de activer la vérification en deux étapes Comment configurer l'authentification à deux facteurs sur tous vos comptes sociauxVoyons quelles plateformes de médias sociaux prennent en charge l'authentification à deux facteurs et comment vous pouvez l'activer. Lire la suite . Avec la vérification en deux étapes activée, vous pouvez ajouter des couches de protection supplémentaires avec Identification approuvée et Générateur de code.
Avec Identification approuvée, Facebook envoie un SMS sur votre téléphone chaque fois que quelqu'un essaie de s'y connecter. Le message texte contient un code numérique qui doit être entré pour accorder l'accès. Même si quelqu'un a votre mot de passe, il ne pourra pas se connecter s'il n'a pas aussi votre téléphone.
Générateur de code est une fonctionnalité similaire qui existe dans l'application mobile Facebook. L'application elle-même génère un code qui doit être entré pour se connecter à Facebook à partir d'un autre appareil. C’est une bonne alternative lorsque vous n’avez pas de connexion Internet ni de SMS.
Utiliser les clés de sécurité U2F
UNE Clé de sécurité U2F Avantages et inconvénients des types et méthodes d'authentification à deux facteursLes méthodes d'authentification à deux facteurs ne sont pas créées égales. Certains sont manifestement plus sûrs et plus sûrs. Voici un aperçu des méthodes les plus courantes et celles qui répondent le mieux à vos besoins individuels. Lire la suite est un périphérique physique qui ressemble à un lecteur flash USB. Au lieu de lier la vérification en deux étapes à votre téléphone (comme pour les approbations de connexion et le générateur de code), vous confirmez les connexions en branchant la clé U2F sur l'appareil avec lequel vous vous connectez.
Facebook n'est pas le seul site qui prend en charge U2F - d'autres incluent Gmail, YouTube, WordPress, GitHub, et la liste s'allonge - mais vous devrez utiliser Chrome ou Opera pour que cela fonctionne.
Clé de sécurité Thetis U2F est une solution abordable que vous pouvez récupérer sur Amazon (vous n'avez besoin que d'une clé par personne), mais il en existe d'autres plus chères avec plus de fonctionnalités. Par exemple, le YubiKey NEO prend en charge NFC pour que vous puissiez simplement le toucher (bon pour les smartphones et les tablettes).
Remarque: Soyez prudent lorsque vous utilisez les approbations de connexion, le générateur de code et les clés de sécurité U2F. Si jamais vous perdez votre authentificateur de deuxième étape (c'est-à-dire votre téléphone ou votre clé U2F), voici comment récupérer la connexion de votre compte Facebook Comment récupérer votre compte Facebook lorsque vous ne pouvez plus vous connecterNous vous montrons comment récupérer votre compte Facebook avec cinq options éprouvées de récupération de compte Facebook. Récupérez votre compte maintenant! Lire la suite .
Plus de conseils pour éviter les escroqueries sur le Web
Le remplissage d'URL n'est que le dernier historique des failles et violations de Facebook. Pour une sécurité maximale, sachez quoi faire si votre compte Facebook est piraté 4 choses à faire immédiatement lorsque votre compte Facebook a été piratéSi vous pensez que votre compte Facebook a été piraté, voici ce qu'il faut faire pour découvrir et reprendre le contrôle. Lire la suite . Les logiciels malveillants sont également un gros risque, alors restez prévenir et supprimer les logiciels malveillants et les virus Facebook Comment empêcher et supprimer les logiciels malveillants ou les virus FacebookLes logiciels malveillants de Facebook sont une menace, mais vous n'avez pas à vous en préoccuper si vous suivez ces conseils. Voici comment éviter le côté méchant de Facebook. Lire la suite .
Avez-vous rencontré un remplissage URL sur Facebook? Comment sécurisez-vous votre compte Facebook? Partagez avec nous dans un commentaire ci-dessous!
Crédit d'image: Brian A Jackson via Shutterstock.com
Joel Lee a un B.S. en informatique et plus de six ans d'expérience en rédaction professionnelle. Il est le rédacteur en chef de MakeUseOf.
