Facebook n’est pas uniquement chronophage ou un puits sans fond où les gens balancent leurs données personnelles. Non, c’est aussi un formidable vecteur d’attaques de phishing.

Comme Facebook ne contrôle pas les posts sponsorisés qu’il affiche dans les timelines de ses internautes, il est très facile pour un escroc de payer quelques euros pour pousser sa campagne de phishing.

Par exemple, aujourd’hui, moi j’avais ça :

A première vue, un article poussé en avant qui propose un article sur Gentside.com parlant de l’iPhone 7. Je vois bien que c’est un post sponso, mais ça ne me gène pas, et je clique.

Comme j’ouvre tout le temps des tas d’onglets avant d’aller lire chaque article, quand je tombe sur celui-ci, j’ai déjà oublié que j’avais cliqué sur une pub Facebook. Ca pouvait venir de Twitter, de Facebook, de Feedly, peu importe.

Et paf, je me retrouve sur un article du Monde, titré : Comment les Français obtiennent le tout nouveau iPhone 7 pour seulement 1€.

Je lis l’article en diagonale, ça pue l’arnaque à plein nez. Pourtant, c’est juste un article éditorial et pas un machin qui clignote dans tous les sens avec des boutons « Télécharger JeSaisPasQuoi » partout.

En gros, ça dit que Apple lance une campagne de comm en France pour faire remonter les ventes de son iPhone et qu’avec un site partenaire, ils proposent des iPhone 7 pour 2 euros.

Ah ah ah… C’est tentant, surtout que l’article se conclue avec une mise à jour « d’aujourd’hui », expliquant que la promo prend fin dans quelques heures et les (faux) commentaires des gens en dessous sont très convaincants.

C’est bien écrit, et ça ressemble vraiment à un article comme on en voit tous les jours, avec son lot de gens qui débattent du contenu. Seulement, les plus affutés d’entre vous n’auront pas manqué de voir l’URL chelou dans une de mes captures écran, pointant vers un domaine en .top.

Hmmm en fait on n’est pas vraiment sur le site du monde. Bon, pas grave, la promo iPhone a l’air cool, je clique sur le lien chelou et là, PAF, je tombe la première fois sur GoldFish, un site qui semble légitime et qui en réalité permet de créer des concours en ligne. Sauf que les escrocs l’ont détourné pour en faire un formulaire qui va même jusqu’à demander les infos CB du pigeon.

Et en y retournant un peu plus tard, je tombe sur une page hébergée chez Quizonaut qui fait aussi des concours…

Malin les mecs, surtout que si on poursuit le processus, on tombe sur une véritable page de paiement pour régler 1 euros.

Se faire voler 1€, ça va vous allez vous en remettre… Oui, mais non, car quand on regarde les petites lignes, il s’agit en réalité d’un abonnement en mode période d’essai et le mois d’après, vous serez automatiquement prélevé de 49 € tous les mois…

Alors à qui la faute ? Et bien d’abord à Facebook bien sûr qui nous propose à 99% de la merde en contenu sponsorisé, alors qu’il y aurait tellement de contenus sponsos intéressants pour l’internaute à mettre en avant. Faut pas venir se plaindre de la montée des Adblocks avec ce genre de pubs dangereuses.

Ensuite, la faute à ces 2 sites de concours qui n’ont pas pris le temps de réfléchir à un contrôle ou une modération pour empêcher ce genre de détournement de leur service et qui en plus permettent ce genre d’abonnement caché très discutable éthiquement. J’ai d’ailleurs du mal à imaginer comment les responsables de ces sites ne pourraient pas être pleinement conscients de l’utilisation qui est faite de leur service. J’imagine que l’argent rend aveugle. Ce serait intéressant que la DGCCRF ou la CNIL enquête sur ces 2 là.

Enfin, la faute à l’internaute qui ne sera pas assez vigilant et bien sûr beaucoup trop crédule. Bref, c’est pas encore gagné et si j’ai pris le temps d’écrire cet article, c’est pour que vous passiez le mot, afin que les moins informés ne se fassent pas avoir.

Ce genre de piège peut vite se refermer sur la victime avec l’utilisation de leur identité et de l’argent volé.

Espérons que Facebook qui est à la source de la diffusion de cette arnaque réagisse vite et prennent des mesures pour que cela ne se reproduise pas.