Détectée dès décembre 2024, cette attaque exploite de faux e-mails prétendant provenir de Meta for Business pour usurper les identifiants des administrateurs de pages professionnelles. Les attaquants envoient des e-mails indiquant que la page Facebook de la victime enfreint les règles de la plateforme et risque d’être désactivée. Ces messages, qui imitent les communications officielles de Meta, redirigent les victimes vers un faux compte sur Facebook Messenger.

Présenté comme un «Centre de modération de contenu», ce compte frauduleux renforce la crédibilité de l’escroquerie. Une fois les informations d’identification obtenues, les cybercriminels prennent le contrôle des pages professionnelles, avec des conséquences potentiellement désastreuses.

Des chiffres alarmants

Cette campagne n’est qu’un exemple parmi d’autres d’une menace mondiale qui ne cesse de croître. Selon les données de Kaspersky et d’autres études récentes, l’ampleur de l’hameçonnage sur les réseaux sociaux atteint des niveaux records. Chaque jour, 300.000 comptes Facebook sont compromis, et en 2023, près de neuf millions d’attaques de phishing ont été détectées dans le monde. Le premier trimestre 2024 a vu l’apparition d’un million de sites de phishing uniques. Les utilisateurs d’autres plateformes ne sont pas épargnés.

Environ 85% des utilisateurs d’Instagram ont été victimes d’une compromission de compte, tandis que 25% des utilisateurs de Facebook ont subi des attaques similaires. Par ailleurs, les marques elles-mêmes sont des cibles privilégiées, puisque plus de 301 grandes entreprises ont été impliquées dans des campagnes de phishing en mars 2024.

Des déclarations d’experts sur la montée des attaques

Pour Andrey Kovtun, responsable du groupe Email Threats Protection chez Kaspersky, «les cybercriminels s’efforcent d’imiter les outils officiels pour mieux manipuler leurs victimes. En utilisant Facebook Messenger comme canal de communication, ils instaurent un faux sentiment de sécurité qui facilite le vol des identifiants», explique-t-il. Cette sophistication s’appuie également sur l’intelligence artificielle. «Aujourd’hui, l’IA générative permet aux attaquants de créer des e-mails et des communications plus crédibles que jamais», ajoute Kovtun. Cela réduit les barrières à l’entrée pour les cybercriminels et multiplie les campagnes à grande échelle.

L’erreur humaine, la clé des cyberattaques

Malgré des campagnes de sensibilisation et des avancées technologiques en cybersécurité, l’hameçonnage reste l’un des vecteurs d’attaque les plus efficaces. Une étude menée en 2023 montre que plus de 10% des employés dans le monde ont cliqué sur des liens malveillants, et 60% d’entre eux ont soumis leurs identifiants sur des sites frauduleux. Cette vulnérabilité s’explique par plusieurs facteurs : la surcharge d’emails dans un cadre professionnel, le stress lié à des communications alarmantes et la confiance excessive envers des marques reconnues comme Meta. «Les erreurs humaines sont au cœur du problème. Les attaquants comptent sur la précipitation et le manque de vigilance pour réussir leurs campagnes», précise un analyste en cybersécurité.

Les conséquences de ces attaques sont dévastatrices, tant sur le plan financier que sur la réputation des victimes. En 2021, les escroqueries sur les réseaux sociaux ont coûté près de 770 millions de dollars aux utilisateurs américains. Dans certains cas, les entreprises ont subi des pertes encore plus graves. Metro Bank, par exemple, a vu son action chuter de 11% après la diffusion de fausses informations issues de comptes piratés. Les personnalités publiques ne sont pas épargnées.

En 2020, des figures comme Barack Obama, Bill Gates et Kim Kardashian ont vu leurs comptes Twitter compromis pour promouvoir une escroquerie Bitcoin, entraînant des pertes estimées à plusieurs millions de dollars. Les campagnes comme celle détectée par Kaspersky illustrent une réalité inquiétante : l’hameçonnage ne cesse d’évoluer. À mesure que les plateformes comme Facebook deviennent indispensables pour les entreprises, elles attirent également des cybercriminels toujours plus ingénieux.