Deux billets d’avion comme appât

Au cours du semaine dernier, les réseaux sociaux ont été submergés par une vague de messages relatifs à la distribution gratuite de billets d’avions par des transporteurs aériens reconnus. Ces diffusions ont touché les utilisateurs du monde entier : elles faisaient allusion à Emirates, AirFrance, Aeroflot, S7 Airline, Eva Air, Turkish Airlance, Air Azia, Air India et bien d’autres compagnies aériennes. Nous n’excluons pas la possibilité de voir prochainement des diffusions semblables impliquant d’autres marques.

Naturellement, aucun billet n’a été remis à qui que ce soit. Des escrocs avaient envoyé ces messages au nom d’importantes compagnies aériennes dans le but d’abonner les destinataires à des services mobiles payant, de récolter des données personnelles, d’installer des malwares ou d’augmenter le trafic vers des sites publicitaires ou des sites au contenu douteux. Les individus commencent par enregistrer une multitude de domaines sur lesquels ils publient du contenu au nom de marques connues. Quand l’utilisateur arrive sur une ressource de ce genre, il apprend qu’il a la possibilité de gagner deux billets d’avion à condition de réaliser une série d’actions déterminées. C’est ainsi que la victime arrive sur un autre site qui appartient également aux individus malintentionnés et qui leur permet de « rentabiliser » leur travail. Ce site diffuse également des informations relatives à une action inexistante dans un réseau social.

Exemple de messages dans un réseau social contenant un lien vers un site d’escroquerie

Ce n’est bien sûr pas la première fois que les utilisateurs des réseaux sociaux diffusent eux-mêmes du contenu d’escroquerie. Nous avons déjà évoqué ici la fausse pétition pour la défense de Suarez diffusée par les utilisateurs de Facebook, les messages relatifs à de fausses collectes de dons ou encore les messages relatifs à un « virus pornographique« . Ces cas ont tous un point commun : la menace se propage via les réseaux sociaux, souvent du fait même des utilisateurs.

Schéma de l’attaque

Mais revenons au cas le plus récent et examinons-le en détails. L’utilisateur qui clique sur le lien affiché dans son fil d’actualités est renvoyé vers un site d’escroquerie. Nous avons identifié plusieurs domaines qui appartiennent aux individus malintentionnés : deltagiveaway.com, vvxwx9.us, aeroflot-com.us, aeroflot-ticket.us, qq3mz9.us, emiratesnow.us, emiratesgo.us, com-beforeitsends.us, emirates.iwelltrip.us et bien d’autres.

Exemples de sites d’escroquerie qui exploitent le nom de compagnies aériennes connues.

Dans la mesure où la seule différence dans l’organisation de l’escroquerie sont le logo, la langue et le style du site qui varient en fonction de la marque, nous nous contenterons d’analyser un seul de ces sites. L’utilisateur qui arrive sur ce prétendu site d’American Airlines apprend qu’il a la possibilité de gagner deux billes gratuits s’il répond à trois questions.

Exemple de site d’escroquerie qui utilise les couleurs d’American Airlines

Après avoir répondu aux questions, la victime doit franchir deux étapes supplémentaires. Tout d’abord, partager les informations relatives à cette promotion sur son profil dans le réseau social en ajoutant un commentaire de remerciement à l’attention du transporteur aérien. Ensuite, elle doit cliquer sur « J’aime ». Il convient de signaler que la page affiche des « commentaires » prétendument tirés de Facebook et écrits par des utilisateurs qui ont déjà gagné des billets. L’analyse a confirmé que ces commentaires étaient faux. Il est même possible de laisser un commentaire, mais celui-ci disparaît après l’actualisation de la page. Toutes ces manœuvres visent à convaincre la victime de la légitimité de la page.

Remarquons que de nombreux commentaires en différentes langues sont publiés par les mêmes personnes. Le contenu est similaire et semble avoir été traduit automatiquement.

Une fois que l’utilisateur a réalisé les différentes actions requises, il est redirigé vers différentes pages en fonction de son emplacement géographique. En ce qui nous concerne, cette redirection s’est déroulée comme suit dans certains cas :

quand on répète toute la chaîne d’actions, le site se comporte différemment et parfois, il renvoie l’utilisateur vers différentes pages après la fin du sondage. Nous nous sommes retrouvés sur des sites au contenu douteux : loterie, publicités, sondages avec récompenses, liens de téléchargement de fichiers douteux, etc.

Ainsi, certains sites proposent à l’utilisateur de télécharger un fichier quelconque utile et l’incitent à installer une extension potentiellement dangereuse pour le navigateur. Cette extension obtient l’autorisation de lecture de toutes les données dans le navigateur, ce qui permet aux escrocs d’obtenir un accès aux mots de passe, aux noms d’utilisateur, aux données de la carte bancaires et à d’autres informations confidentielles que l’utilisateur saisit. De plus, cette extension peut continuer à propager des liens vers elle-même sur Facebook, mais cette fois-ci au nom de l’utilisateur et de ses amis. C’est précisément cette menace que représentait l’attaque que avons évoquée ci-dessus.

Au moment de publier ce billet, la seule extension citée avait été installée par plus de 5 000 utilisateurs, à en croire les statistiques du magasin d’applications Internet.

Nombre de victimes et répartition géographique

La majorité des ressources d’escroquerie de cette campagne contient des liens vers des services externes qui récoltent des statistiques sur les visites du site. Ces données montrent que l’attaque est très répandue et qu’elle vise principalement les utilisateurs de smartphones. A titre d’exemple, voici des statistiques impressionnantes pour deux des domaines que nous avons identifiés :

Statistiques pour le site aeroflot-ticket.us

Statistiques pour le site aeroflot-ticket.us

Statistiques pour le site emirateswow.us

Malheureusement, de nombreux internautes ont mordu à l’hameçon des escrocs. L’envie de remporter ces billets a été la plus forte et ils n’ont pas vu les nombreux éléments qui indiquaient qu’il s’agissait d’une escroquerie. Ce faisant, ils ont diffusé ce contenu potentiellement dangereux parmi leurs amis dans les réseaux sociaux.

Exemples de publications contenant des liens vers des sites d’escroquerie.

C’est ainsi que des ressources d’escroquerie élémentaires, comme il y en a beaucoup sur Internet, sont devenues très populaires en l’espace de quelques heures.

Lorsqu’il s’agit de propager des informations dans le monde entier, les possibilités des réseaux sociaux sont illimitées. Les escrocs ne font que confirmer ce point.

Exemples de publications contenant des liens vers des sites d’escroquerie

Voici quelques conseils à titre de conclusion :

• Il faut toujours analyser ce genre de « promotion » avec une bonne dose de scepticisme. Avant de cliquer sur un lien douteux et de saisir ses données personnelles sur la ressource Internet proposée, l’utilisateur doit contacter un représentant de la société présentée comme l’instigatrice de la promotion afin d’en savoir plus.
• L’analyse minutieuse du contenu de la barre d’adresse de la ressource Internet permet également de confirmer qu’il s’agit d’une escroquerie : il faut vérifier si le domaine appartient à la société indiquée. Vous pouvez utiliser pour ce faire un des services qui reprend les données whois pour les domaines existants.
• Soyez responsable au moment de publier du contenu sur votre compte dans un réseau social. Ne diffusez pas des informations dont vous ne pouvez pas confirmer l’authenticité afin de ne pas vous transformer en rouage de l’escroquerie.
• Evitez d’installer des extensions douteuses. Si vous découvrez une extension installée et que vous ne vous rappelez plus de sa fonction ou si elle vous semble suspecte, il convient de la supprimer sur le champ via les paramètres du navigateur, puis de changer les mots de passe des sites visités, surtout ceux qui permettent d’accéder aux systèmes de banque électronique.
• Utilisez une solution de protection du niveau Internet Security ou supérieur avec protection contre le phishing. Elles sont capables de bloquer les tentatives d’accès aux sites d’escroquerie.