Une escroquerie se propage actuellement à grande vitesse sur Facebook.

A en croire le réseau social, le célèbre catcheur John Cena est décédé lors d’un combat (en fait canular de la WWE pour faire le show), et la video serait accessible sur la toile.
Des pirates profitent du buzz pour anarquer les internautes les plus naifs.

Cela commence par la diffusion sur Facebook. Un “ami” de l’utilisateur semble être l’auteur de la publication et annonce dans un français approximatif que la vidéo est sur le net.
1En cliquant, l’utilisateur n’a pas accès à la vidéo mais à une page intermédiaire de présentation douteuse qui ne fera pas reculer les plus curieux. Un clic sur “get started”, ces derniers tombent dans le piège. L’escroquerie est lancée.

 

 

2Afin de s’assurer que l’origine de la manoeuvre ne vient pas d’un robot, il est alors demandé à l’utilisateur de se connecter à l’application Facebook Pinterest, réseau social de partage d’images.

 

 

L’application proposée est bien l’officielle, petit réconfort pour les futures victimes qui auraient eu un doute en cours de route. Malheureusement c’est à l’étape qui suit que le piège se trouve. Le processus continue en demandant de composer une suite de touches soi-disant nécessaires pour la vérification. Cette combinaison n’est pas anodine : elle suit un mécanisme bien rodé.

CTRL + L = sélectionne l’URL dans le navigateur
CTRL + C = copie cette adresse dans le presse-papiers (URL qui contient votre numéro d’identifiant)
CTRL + W : ferme le pop-up pour vous envoyer sur le faux captcha

L’application malveillante détient maintenant tous les éléments pour entrer en action.

La victime arrive enfin sur la page où il va pouvoir regardée la vidéo convoitée, après devoir se soumettre à une nouvelle vérification sur son âge. Pour cela, son numéro de téléphone portable est demandé, ainsi qu’une inscription à une offre (pourtant  dissuasive) : un abonnement de 4€ par semaine pour une lampe torche (application pour téléphone).

Ce site internet n’est en fait qu’un leurre qui affiche une image de faux lecteur vidéo. Le site affiche un GIF animé laissant croire à un chargement de la vidéo …

Pour l’utilisateur c’est trop tard. Même si il s’est arrêté avant de payer, la combinaison de touches effectuée précédemment suffit à propager la diffusion de l’escroquerie sur le mur de la victime, via son profil, et à se propager à tous ses contacts.

Cette escroquerie arrive sur le compte des utilisateurs qui ont lancé une application pour savoir qui consulte leur profil. Mais en fait, leur compte devient accessible pour tous…

Notre conseil:
Paramétrer votre compte facebook, pour le sécuriser.
A quoi sert d’avoir des amis sur le réseau social, si vous ne voulez pas qu’ils consultent votre profil…