Les utilisateurs de la plate-forme de médias sociaux X (anciennement Twitter) ont souvent été laissés perplexes lorsqu’ils cliquent sur une publication avec un lien externe mais arrivent sur un site Web totalement inattendu à partir de celui affiché dans la publication.
Une publicité Twitter repérée ci-dessous par un chercheur en sécurité montre forbes.com comme destination, mais vous amène plutôt à un compte Telegram censé promouvoir les escroqueries cryptographiques.
Ne faites pas confiance aux aperçus de liens sur X
Le chercheur en sécurité Will Dormann a repéré un message Twitter avec un lien vers « forbes.com. »
La publication d’un compte vérifié, lorsqu’elle était vue par le chercheur, était également promue en tant qu’annonce sur la plateforme:
Cependant, cliquer sur le lien dans un navigateur Web redirigerait plutôt la majorité des utilisateurs vers un compte Telegram » Crypto avec Harry », qui semble offrir des conseils douteux en matière de crypto-monnaie:
Pourquoi cela arrive-t-il?
Alors que les aperçus de liens externes devraient idéalement afficher le premier domaine immédiat vers lequel un lien vous amène lorsque vous cliquez dessus, X fait le contraire.
La plate-forme de médias sociaux essaie de déterminer (bien qu’en vain) la destination finale où une URL vous emmène et l’affiche sous forme de nom de site Web, dans une publication.
Le message en question, en fait, dirige d’abord les utilisateurs vers un site Web appelé join channel now[.] net qui est opérationnel depuis le 29 janvier de cette année (et surprise, inscrit sur Namecheap).
Contrairement à X, Google Chrome vous montre cette (première) destination lorsque vous survolez le lien:
Une fois qu’un utilisateur arrive à joinchannelnow[.] net, son serveur détermine si une requête provient d’un navigateur Web ou d’un bot—tel que celui de Twitter, utilisé pour générer des aperçus de liens.
Il le fait en vérifiant l’en-tête HTTP User-Agent dans une requête entrante.
Si une demande provient d’un navigateur Web, ce qui signifie très probablement qu’un humain a cliqué sur le lien, join channel now redirige joyeusement et sournoisement l’utilisateur vers le compte Telegram illustré ci-dessus.
Sinon, lorsqu’il soupçonne qu’un bot ou un outil automatisé est utilisé pour tracer où joinchannelnow redirige finalement, il redirige la demande vers un légitime forbes.com l’article:
C’est ainsi que X peut être amené à afficher le nom d’un site Web dans un article (ou pire, une annonce) qui est complètement différent de l’endroit où les utilisateurs arriveraient.
La faille est particulièrement problématique sur les applications mobiles X car, contrairement à un navigateur Web de bureau où l’on pourrait facilement survoler le lien pour voir où il les mène, cette fonctionnalité (c’est-à-dire une barre d’état) est complètement absente sur mobile.
Cela signifie que les utilisateurs ne verront que « forbes.com » sur l’application et, après avoir appuyé sur l’aperçu, accédez immédiatement au compte Telegram en question.
L’astuce astucieuse peut être utilisée de manière abusive par toutes sortes d’adversaires, des escrocs cryptographiques à ceux qui poussent des logiciels malveillants, des installations d’applications cheval de Troie, du phishing et des services de spam pour s’attaquer à des utilisateurs sans méfiance.
Les publications Reddit vues par Breachtrace impliquent que cette faille est connue et exploitée par les acteurs de la menace depuis un certain temps.
Qu’il suffise de dire qu’il est préférable de ne pas cliquer sur des liens externes dans les publications et publicités Twitter sans les survoler et en prêtant une attention particulière à l’URL affichée dans la barre d’état de votre navigateur. Sur les appareils mobiles, il est plus sûr de ne pas appuyer du tout sur les publications contenant des liens.