Vous vous souvenez de notre ami le Likejacking ? Et bien, je vous présente sa version photographique : le Tagjacking. Il s’agit de la dernière trouvaille des escrocs sur les réseaux sociaux, destinée à améliorer leurs techniques de hijacking.
Tout commence avec l’album photos d’un ami dans lequel celui-ci vous a apparemment « tagué ».
Rien de bien inquiétant pour le moment, si ce n’est à quelques détails près. L’image affichée représente une fille sexy. Où est le mal ? Et bien, gardez toujours à l’esprit le risque que constitue les contenus scandaleux/choquants.
Si cela n’a pas éveillé chez vous de soupçons quant à la légitimité de cette application, jetez un coup d’œil aux petits caractères qui accompagnent la photo : « wow, ça marche>> vous pouvez maintenant savoir qui consulte le plus votre profil Facebook ! » Vraiment ? Ça n’a pourtant plus grand-chose de nouveau : cet argument a déjà été utilisé à de très nombreuses occasions.
Voyons ce qui se passe si vous décidez de cliquer sur le lien… Cela vous rappelle quelque chose ? L’étape suivante ? Cliquez sur « Login », bien consciencieusement.
Voici les autorisations. Il n’y en a que deux, mais elles suffisent amplement :
- « Accéder à mes informations de base » permettra à l’application d’obtenir la liste des amis de l’utilisateur,
- « Poster sur mon mur » lui permettra de publier des messages ET des photos sur son mur.
Que la fête commence !
Cliquez sur « Autoriser » et vous vous en mordrez les doigts.
Comme d’habitude, vous entrez dans un labyrinthe interminable d’actions pour débloquer du contenu.
Le bilan de tout cela ? Vous vous retrouvez avec une nouvelle photo dans votre galerie : celle de la fille sexy. De plus, tous vos contacts seront « tagués » sur cette photo afin d’apporter une plus grande visibilité au scam. Sans compter les messages publiés sur les murs de vos amis pour indiquer qu’ils ont été tagués. Bref, l’application a spammé votre mur et celui de vos amis à votre insu et en plus, elle a tagué vos contacts sur une photo d’un gout douteux. Imaginez si vous avez des contacts professionnels parmi vos amis Facebook…
Tout cela déclenchera un véritable effet viral :
L’ami A (a cliqué sur ce lien) -> L’ami B* (se retrouve avec une publication sur son mur indiquant qu’il a été « tagué » sur une photo, qu’il clique ou non sur le lien) -> L’ami C* (voit le post indiquant que B a été « tagué » et a accès au lien malveillant, même si B ne clique pas dessus).
* B est l’ami de A et C est l’ami de B
Les scammeurs en veulent toujours plus et leur arsenal s’appuie de plus en plus sur les fonctions légitimes du réseau social, soyez attentif au moindre signe de problème avant d’installer une application. Vous trouverez dans cet article des éléments pour débusquer les applications malveillantes.
Les points à toujours garder en tête :
- Aucune application légitime ne peut vous indiquer combien de fois votre profil a été consulté, qui sont les personnes qui le visitent le plus souvent, ni qui sont les personnes qui vous espionne sur le réseau social. Ce type d’application n’existe pas !
- Regardez attentivement la liste des autorisations requises par les applications.
- Les photos/vidéos douteuses partagées sont susceptibles de contenir toutes sortes de pièges.
Tous les noms de produits ou d’entreprises mentionnés dans ce document le sont à titre purement informatif et sont la propriété, et éventuellement les marques, de leurs propriétaires respectifs.
Article réalisé grâce aux informations techniques fournies par George Petre, Responsable de l’étude des Menaces chez BitDefender.
