Candy Crush - des bonbons, de l’or et des arnaques

publié par Laboratoires Antivirus Bitdefender, le 05 March 2014

Un site de phishing aux couleurs du célèbre jeu mobile et Web fait rage ces temps-ci et vous offre quelques lingots d’or et autres bonus en échange de vos identifiants Facebook (et un peu d’argent tout de même).

Candy Crush est « LE » jeu du moment. Disponible sur plate-formes mobiles (iOS et Android) et sur Facebook, Candy Crush est un jeu de type « puzzle » qui revendique des dizaines de millions de joueurs à travers le monde.

Basé sur un modèle freemium, le jeu est gratuit, mais il est possible de dépenser quelques euros pour bénéficier de vies supplémentaires ou  de divers bonus. Les cyber-criminels ont bien compris l’intérêt qu’ils pouvaient tirer de cette manne et de nombreuses arnaques ont ainsi vu le jour, vous proposant de « bénéficier gratuitement » de ces items normalement payants.

L’arnaque

Les Laboratoires Antivirus Bitdefender ont récemment découvert une énième arnaque via Facebook : une page Facebook associée à un site Web, dont l’URL pousse le mimétisme  jusqu’à comporter le nom du jeu, vous propose des lingots d’or gratuits et d’autres bonus comme des vies supplémentaires.

Candy Crush - des bonbons, de l’or et des arnaques

Aperçu des pages du site :

Candy Crush - des bonbons, de l’or et des arnaques

Etape 1 : connexion à Facebook

Le site nous demande de nous connecter à notre compte Facebook afin de bénéficier des lingots d’or gratuits. Voilà qui est étrange, je suis pourtant déjà connecté à mon compte Facebook. L’authentification Facebook, basée sur le protocole OAuth, aurait dû détecter ma connexion en temps réel et directement me connecter au site sans que j’aie à saisir mes identifiants de nouveau !

Candy Crush - des bonbons, de l’or et des arnaques

Par ailleurs, notez le lien « soumis à conditions » : intéressant, quelles peuvent être les conditions de cette offre gratuite ? Nous ne saurons malheureusement pas, puisque le lien ne mène nulle part.

Candy Crush - des bonbons, de l’or et des arnaques

Etape 2 : l’appel « gratuit »

Une fois les identifiants saisis il reste une étape à franchir pour bénéficier enfin de ce bon plan : appeler un numéro « gratuit » pour obtenir le code. Le mot « gratuit » ou l’indication du prix (0,00€) est précisée un peu trop de fois, vous ne trouvez pas ? Il s’agit bien sûr d’un numéro surtaxé.

Candy Crush - des bonbons, de l’or et des arnaques

L’arnaque se termine ici, au lieu de lingots d’or et de vies supplémentaires pour votre jeu favori, vous risquez fort de vous faire dérober vos identifiants Facebook et potentiellement l’accès à d’autres sites, dans l’hypothèse où vous utilisez un seul mot de passe pour plusieurs comptes, ainsi que quelques euros au passage si vous avez composé ce numéro surtaxé.

Comment se prémunir de cette arnaque ?

Quelques indices peuvent mettre en lumière les failles de ces escroqueries :

Le protocole d’identification Facebook

Comme énoncé plus haut, Facebook dispose du protocole OAuth, qui permet de vous identifier sur n’importe quel site en tant qu’utilisateur Facebook lorsque vous êtes connecté à votre compte. Il n’y a donc aucune raison pour que vous ayez à entrer vos identifiants à nouveau si vous êtes déjà connecté !

Google est – et sera toujours – votre ami

Êtes-vous du genre à appeler un numéro en 08 sans faire une recherche au préalable ? Une petite recherche du numéro dans un moteur de recherche permet d’avoir une idée de qui est « réellement » au bout du fil…

Candy Crush - des bonbons, de l’or et des arnaques

Restez toujours vigilant face à des offres toujours un peu trop alléchantes pour être honnêtes, et vérifiez par deux fois avant de saisir vos identifiants sur un site Internet ou d’appeler un numéro inconnu.

Nous vous recommandons d’installer un antivirus pour vous protéger contre le phishing. Pensez aussi à utiliser Safego, notre antivirus gratuit pour Facebook, et bien sûr, tenez-vous au courant des actualités et alertes de sécurité informatique !

Laboratoires Antivirus Bitdefender

Nous protégeons vos ordinateurs, tablettes et smartphones. Parce que les menaces actuelles sont loin d’être virtuelles et sont de plus en plus virulentes, nous mettons toute notre expertise à votre service pour protéger vos informations.