Facebook n'est pas seulement l'un des réseaux sociaux les plus populaires et les plus utilisés au monde, mais aussi une « méthode d'accès » à de nombreux sites Web ou applications : en effet, il vous sera certainement arrivé de vous inscrire à un service et de voir la possibilité de vous inscrire en utilisant les données déjà enregistrées sur Facebook. Cette méthode, bien que rapide, peut ne pas être sûre si vous ne faites pas très attention . Une équipe de Facebook qui s'occupe de la sécurité informatique a en effet identifié plus de 400 applications, présentes aussi bien sur l'App Store que sur le Play Store, qui menaient des attaques de phishing à l'aide du fameux bouton "Connexion avec Facebook" dont nous parlions précédemment comme " appât" pour voler des données (en particulier des mots de passe).

Les applications en question, visiblement rapidement retirées des stores, étaient de différents types :

- Les éditeurs photo , y compris ceux qui prétendent "vous transformer en dessin animé" (près de 50% des applications recensées étaient de ce type)
- VPN prétendant augmenter la vitesse de navigation ou accordant l'accès à du contenu ou à des sites Web bloqués
- Utilitaires comme les applications de lampe de poche
- Des jeux qui promettent des graphismes 3D de haute qualité
- Applications de santé et de style de vie telles que les horoscopes et les trackers de fitness
- Applications commerciales ou de gestion publicitaire qui prétendent fournir des fonctionnalités cachées ou non autorisées

Le fonctionnement des attaques était vraiment simple : pour utiliser l'application, les utilisateurs devaient s'inscrire en utilisant le bouton Connexion avec Facebook . Ce bouton, cependant, n'était pas le bouton officiel (ce qui est évidemment sûr, puisque les données ne passent pas de serveurs tiers), mais une copie qui dirigeait les utilisateurs vers une fausse page qui imitait le site Web de Facebook . Les données saisies sur cette page, à savoir le nom d'utilisateur et le mot de passe Facebook, se sont retrouvées directement entre les mains des attaquants qui avaient créé l'application. La seule façon de se défendre contre cette attaque est de porter une attention particulière lors de l'utilisation de n'importe quelle application , même celles téléchargées à partir de magasins fondamentalement fiables : vous trouverez ci-dessous des exemples de faux boutons à éviter. En général, il faut se méfier des applications qui nécessitent une connexion même pour les fonctionnalités de base ou qui n'offrent pas les fonctionnalités promises.