Pensez-vous vraiment que Mark Zuckerberg va vous envoyer un message personnel au milieu de la nuit pour vous dire que vous avez gagné 750 000$ (environ 625 000€) à une loterie Facebook ?
Non ? Eh bien c’est sans doute parce que vous êtes des lecteurs assidus de notre blog cybersécurité, mais concentrons-nous plutôt sur ceux qui y ont cru, car ils sont des proies faciles, ciblées par des centaines de faux Zucks et de faux Sheryl Sandberg.
En excluant, sur ces réseaux sociaux, les pages de fans et les comptes satiriques, qui sont en ligne avec les conditions d’utilisation de Facebook, le New York Times a trouvé 205 comptes qui se font passer pour le CEO de Facebook Mark Zuckerberg et le COO Sheryl Sandberg sur Facebook et Instagram.
Au moins 51 des comptes malveillants, que le journal a repéré incluant 43 sur Instagram, étaient des escroqueries à la loterie.
Soyons indulgents envers ceux qui sont tombés dans le panneau ! Une victime, Gary Bernhardt, un conducteur de chariot élévateur à la retraite et un vétéran de l’armée, nous a demandé de réfléchir à la question suivante : Est-ce si difficile de croire que Zuck lui-même peut vous envoyer un message ?
Après tout, c’est le type d’individu dont le pragmatisme l’avait poussé, l’année dernière, à se lancer le défi de visiter tous les États américains dans lesquels il n’était jamais encore allé. Et, pendant cette tournée, il a travaillé sur une chaîne d’assemblage de voitures, effectué une sortie avec un pompier dans l’Indiana, nourri un veau, conduit un tracteur, déjeuné avec des fermiers et parlé avec des toxicomanes opioïdes en convalescence.
Bernhardt a déclaré au Times qu’il était resté debout jusqu’à l’aube, en échangeant des messages avec celui qui prétendait être le jeune milliardaire. Le faux Zuck lui a alors dit que pour empocher ses gains, il devait d’abord envoyer 200$ (environ 170€) en cartes-cadeaux iTunes. Bernhardt a donc acheté quelques cartes-cadeaux dans une station-service et a envoyé les codes d’échange sur compte du cybercriminel. C’était en novembre 2017. En janvier, il n’avait toujours pas reçu les gains de cette loterie Facebook, et en plus l’imposteur l’avait allégé de 1310$ (soit à peu près 1100€) de plus. Il a déclaré au Times que cette somme représentait environ un tiers de ses aides sociales sur les trois derniers mois.
Le Times prétend que ces comptes d’imposteurs prolifèrent, et ce malgré les groupes Facebook qui traquent les escroqueries et suivent les réclamations concernant ces comptes frauduleux qui remontent à 2010. Vous pouvez voir des échantillons de ces scams à la loterie Facebook sur Hoax Slayer et d’autres sites de dénonciation.
Voler une photo d’un CEO ou COO célèbre ou de n’importe qui ayant des photos en ligne est très facile. Il en va de même des nombreuses variantes possibles de noms, laissant apparaître un mouton inoffensif, mais derrière lequel se cache en réalité un loup féroce !
Le Times a trouvé des comptes utilisant de nombreuses variantes concernant le nom “Mark Elliot” (le deuxième prénom de Zuck est Elliot). Idem pour Sandberg, ou, comme les cybercriminels aiment l’appeler en espérant vous duper, Sherryl Sandbarg, Sherryl Sandbeerg ou d’autres manipulations orthographiques.
Le journaliste du Times, Jack Nicas, a révélé ces faux comptes, parmi beaucoup d’autres, après que Facebook ait récemment déclaré qu’environ 3%, soit 60 millions, de ses comptes étaient faux :
Let’s discuss Facebook’s issue with fake accounts…
After Facebook recently said that up to 3% of its accounts are fake, I wondered how to show that. So, I looked for Mark Zuckerberg impostors… and I found a bunch. Sheryl Sandbergs, too. pic.twitter.com/UHeIYO2y5X
— Jack Nicas (@jacknicas) 25 avril 2018
The Times a fait part de ses conclusions à Facebook. Un jour plus tard, l’entreprise avait retiré les 96 faux comptes de Zuckerberg et Sandberg. Tous les faux comptes Instagram, à l’exception de l’un d’entre eux, ont été supprimés. Quant à ce dernier, il a finalement été supprimé après la publication du rapport du Times.
Le porte-parole de Facebook, Pete Voss, a remercié le journal pour son rapport, mais il n’a pas pu expliquer pourquoi Facebook n’avait pas repéré ces comptes frauduleux, qui cherchaient à faire croire qu’ils appartenaient à leurs cadres dirigeants, y compris certains qui étaient actifs depuis plus de huit ans !
Voss :
Ce n’est pas facile. Nous voulons vraiment nous améliorer.
Les vraies photos et les noms légèrement modifiés donnent aux visiteurs une impression d’authenticité si vous n’y prêtez pas une attention particulière, ou bien si vous faites partie des cibles privilégiées de ces cybercriminels. Plus précisément, après avoir interrogé une demi-douzaine de victimes récentes, le Times a constaté que ces escroqueries ciblaient des personnes âgées, peu éduquées et à faible revenu.
La crédibilité des imposteurs est renforcée par les réseaux d’autres comptes factices se faisant passer pour des “agents de soutien Facebook”, une appellation créée pour donner l’impression que, sans aucun doute, il existe vraiment une loterie Facebook.
Le Times a parlé à Robin Alexander van der Kieft, qui gère plusieurs groupes Facebook qui suivent ces escroqueries. Il a déclaré que les faux comptes, dont plusieurs ont été localisés au Nigeria et au Ghana via l’adresse IP, partagent entre eux les gains en provenance de ces escroqueries.
Facebook a admis que tous ces faux comptes sont un problème. Au cours de sa récente audition face au Sénat, Zuckerberg a dit à la sénatrice Dianne Feinstein que son équipe devait revenir vers elle concernant des “dizaines de milliers de faux comptes” et éclaircir s’ils pouvaient être “spécifiquement” liés aux services secrets russes.
Dans un post du mois de janvier sur Facebook, Zuckerberg a déclaré que l’entreprise avait presque doublé le nombre de personnes examinant le contenu de toutes sortes d’abus, y compris l’usurpation d’identité.
Les gens qui se sont font avoir, et à qui le Times a parlé ont déclaré qu’il était difficile de trouver la procédure pour signaler ces escroqueries, et qu’après l’avoir fait, Facebook a été plutôt lent à répondre.
Néanmoins, si vous êtes ciblé, signalez-le. Et s’il vous plait, ne vous moquez pas des gens qui sont tombés dans le panneau. Ces escroqueries causent de graves problèmes financiers et une grande détresse physique.
Facebook pourrait bien être lent à résoudre sur le problème de ces faux comptes, mais il ne sera jamais capable de corriger quoi que ce soit s’il n’en a pas connaissance !
Non, Mark Zuckerberg n’essaie pas de vous faire gagner à une loterie Facebook !
Billet inspiré de No, Mark Zuckerberg isn’t messaging you about winning a Facebook lottery, sur Sophos nakedsecurity.