Ceux qui ne prêtent pas attention sont souvent les premiers à succomber à de nouveaux hacks et escroqueries - et si vous utilisez régulièrement Facebook, ce qui est plus probable qu'autrement, alors vous devrez peut-être commencer à payer plus d'attention.
Cela est particulièrement vrai si vous préférez le mobile au bureau.
Scammers, ayant constaté que le trafic mobile est désormais supérieur au trafic PC à l'échelle mondiale, commence à adapter ses techniques pour tirer parti des utilisateurs mobiles. Et vu que les appareils mobiles ont tendance à être moins protégés que les PC, c'est un choix gagnant pour eux.
Continuez votre lecture pour en apprendre davantage sur le fonctionnement de cette nouvelle technique d'arnaque, sur ce qu'il faut surveiller et sur la façon dont vous pouvez rester en sécurité à l'avenir.
Comment fonctionne l'arnaque de connexion Facebook
L'arnaque utilise une technique appelée remplissage d'URL . Une URL typique est composée de trois parties:
- Un domaine (obligatoire)
http://facebook.com/photo.php?fbid=123456 - Un sous-domaine (optionnel)
http://m.facebook.com/photo.php?fbid=123456 - Un chemin (facultatif)
http://m.facebook.com/photo.php?fbid=123456
En tant qu'utilisateur mobile, vous avez sans aucun doute vu m.facebook.com dans la barre d'adresse de votre navigateur en utilisant Facebook. C'est la combinaison sous-domaine + domaine qui indique que vous êtes sur la version mobile du site de Facebook. Quand vous le voyez, vous vous sentez en sécurité.
Le remplissage d'URL est lorsqu'un escroc crée un sous-domaine sur un domaine entièrement différent pour usurper l'identité d'un site et "tamponne" le sous-domaine avec des caractères inoffensifs pour faire croire aux utilisateurs qu'ils se trouvent sur le site même.
Voici un exemple d'URL de PhishLabs:
http://m.facebook.com----------------validate----step1.rickytaylk.com/sign_in.html La visite du site vous présente une réplique exacte de la version mobile de la page d'accueil de Facebook, vous demandant d'entrer vos informations d'identification afin que vous puissiez vous connecter. Un utilisateur averti mais inattentif peut consulter l'URL, voir m.facebook.com, Considérez la côte claire et connectez-vous.
Une fois que vous entrez vos informations d'identification, le jeu est terminé. Le site présentera une erreur discrète (par exemple, incompatibilité de mot de passe) mais le dommage sera déjà fait: ils ont enregistré votre nom d'utilisateur et mot de passe, et peuvent maintenant accéder à votre compte Facebook réel ou utiliser ces informations pour entrer dans vos autres comptes: Gmail, Amazon, PayPal, banques, etc.
Les lecteurs attentifs noteront que le nom de domaine de cette URL suspecte est rickytaylk.com et qu'il contient trois sous-domaines imbriqués:
com----------------validate----step1facebookm
Vous le verriez probablement comme une URL manifestement frauduleuse si vous deviez la rencontrer sur un PC, mais voici ce qu'un utilisateur mobile verrait:
Les adresses URL rembourrées peuvent être envoyées via toutes sortes de méthodes de communication: courrier électronique, messages texte, applications de messagerie, etc.
La chose triste est, les fausses URL ne sont pas nouvelles. Plus tôt cette année, un exploit a été découvert dans Chrome (et d'autres navigateurs basés sur Chromium) où les URL pouvaient être modifiées pour apparaître sous la forme d'autres URL. Heureusement, le bug a été corrigé avant que les escrocs puissent aller en ville avec, mais montre que faire confiance à une URL n'est que folie.
Comment sécuriser votre compte Facebook
La seule façon de se prémunir contre une URL rembourrée est d'apprendre à repérer les messages d'hameçonnage et, plus important encore, de ne visiter que les sites sensibles en tapant des domaines directement dans la barre d'URL de votre navigateur.
C'est un inconvénient mineur, mais vaut la peine. Je le fais tout le temps, en particulier lors de la vérification des comptes bancaires et l'utilisation de sites de commerce électronique. Avec le temps, ce sera une seconde nature et votre taux d'arnaque chutera.
Et si vous êtes déjà tombé pour ça? Ou si quelqu'un, par d'autres moyens, met la main sur vos identifiants de connexion Facebook? Voici quelques choses supplémentaires que vous pouvez faire pour rester en sécurité.
Utiliser des mots de passe uniques
L'une des pires erreurs de mot de passe consiste à utiliser le même mot de passe pour tous vos comptes.
Vous savez comment la plupart des services nécessitent un email pour s'inscrire? Eh bien, si vous êtes comme la plupart des gens, vous utilisez la même adresse e-mail pour tous les services. Dans ce cas, si quelqu'un trouve votre mot de passe pour un compte, alors il a maintenant par inadvertance accès à tous vos comptes.
En utilisant un mot de passe distinct pour chaque compte et en ne le répétant jamais, vous pouvez limiter considérablement les dégâts. Ne pensez pas que vous pouvez garder tous ces mots de passe directement dans votre tête? Commencez à utiliser un gestionnaire de mot de passe comme LastPass 5 Meilleures alternatives LastPass pour gérer vos mots de passe 5 meilleures alternatives LastPass pour gérer vos mots de passe Beaucoup de gens considèrent LastPass comme le roi des gestionnaires de mot de passe; il est rempli de fonctionnalités et compte plus d'utilisateurs que n'importe lequel de ses concurrents - mais c'est loin d'être la seule option! Lisez la suite et vous n'aurez plus jamais à vous soucier des mots de passe.
Utiliser les approbations de connexion et les codes
Peut-être la meilleure chose que vous pouvez faire pour votre sécurité Facebook est de permettre la vérification en deux étapes Comment configurer l'authentification à deux facteurs sur tous vos comptes sociaux Comment configurer l'authentification à deux facteurs sur tous vos comptes sociaux Voyons quelles plates-formes de médias sociaux soutenir l'authentification à deux facteurs et comment vous pouvez l'activer. Lire la suite . Avec la validation en deux étapes activée, vous pouvez ajouter des couches de protection supplémentaires avec les approbations de connexion et le générateur de code .
Avec les approbations de connexion, Facebook envoie un message texte SMS à votre téléphone chaque fois que quelqu'un tente de se connecter. Le message texte contient un code numérique à entrer pour accorder l'accès. Même si quelqu'un a votre mot de passe, il ne pourra pas se connecter s'il ne dispose pas de votre téléphone.
Code Generator est une fonctionnalité similaire qui existe dans l'application mobile Facebook. L'application elle-même génère un code qui doit être entré pour se connecter à Facebook à partir d'un autre appareil. C'est une bonne alternative lorsque vous n'avez pas de connexion Internet ou de SMS.
Utiliser les clés de sécurité U2F
Une clé de sécurité U2F Avantages et inconvénients des méthodes et des types d'authentification à deux facteurs Avantages et inconvénients des méthodes et des types d'authentification à deux facteurs Les méthodes d'authentification à deux facteurs ne sont pas égales. Certains sont manifestement plus sûrs et plus sûrs. Voici un aperçu des méthodes les plus courantes et celles qui répondent le mieux à vos besoins individuels. En savoir plus est un périphérique physique qui ressemble à un lecteur flash USB. Au lieu de relier la vérification en deux étapes à votre téléphone (comme avec les approbations de connexion et le générateur de code), vous confirmez les connexions en branchant la clé U2F sur l'appareil avec lequel vous vous connectez.
Facebook n'est pas le seul site qui supporte U2F - d'autres incluent Gmail, YouTube, WordPress, GitHub, et la liste est en pleine croissance - mais vous devrez utiliser Chrome ou Opera pour que cela fonctionne.
La clé de sécurité Thetis U2F est une clé abordable que vous pouvez récupérer sur Amazon (vous n'avez besoin que d'une clé par personne), mais il y en a d'autres plus chères avec plus de fonctionnalités. Par exemple, le NEO YubiKey prend en charge la technologie NFC, vous pouvez donc appuyer dessus (bon pour les smartphones et les tablettes).
Yubico YubiKey NEO - USB-A, NFC, authentification à deux facteurs Yubico YubiKey NEO - USB-A, NFC, authentification à deux facteurs Acheter maintenant À Amazon $ 50.00
Remarque: Soyez prudent lorsque vous utilisez les approbations de connexion, le générateur de code et les clés de sécurité U2F. Si vous perdez jamais votre authentificateur de deuxième étape (c.-à-d. Votre téléphone ou clé U2F), voici comment récupérer votre compte Facebook connexion Comment récupérer votre compte Facebook lorsque vous ne pouvez plus vous connecter Comment récupérer votre compte Facebook quand vous ne pouvez plus Connexion Avez-vous oublié votre mot de passe et ne pouvez plus vous connecter? Ou votre compte a-t-il été piraté? Voici comment vous pouvez récupérer votre compte Facebook. Lire la suite .
Plus de conseils pour éviter les escroqueries sur le Web
Le remplissage d'URL est juste le dernier dans l'histoire des failles de Facebook et des brèches. Pour plus de sécurité, savoir quoi faire si votre compte Facebook est piraté 4 choses à faire immédiatement lorsque votre compte Facebook est piraté 4 choses à faire immédiatement lorsque votre compte Facebook est piraté Avoir votre compte Facebook piraté est un cauchemar. Un étranger a maintenant accès à toutes vos informations personnelles et pourrait harceler vos amis et vos abonnés. Voici ce que vous pouvez faire pour contenir les dégâts. Lire la suite . Malware est un grand risque aussi, alors restez au top de la prévention et la suppression des logiciels malveillants et des virus Facebook Comment faire pour prévenir et supprimer Facebook Malware ou Virus Comment faire pour prévenir et supprimer Facebook Malware ou Virus Facebook est une menace, mais vous ne devez pas inquiétez-vous si vous suivez ce conseil. Voici comment éviter le côté méchant de Facebook. Lire la suite .
Avez-vous rencontré un remplissage d'URL sur Facebook? Comment gardez-vous votre compte Facebook sécurisé? Partagez avec nous dans un commentaire ci-dessous!
Crédit d'image: Brian A Jackson via Shutterstock.com