https://www.trellix.com/en-au/blogs/research/the-unfriending-truth-how-to-spot-a-facebook-phishing-scam/
https://www.clubic.com/actualite-595048-attention-cette-arnaque-par-phishing-sur-facebook-est-presque-impossible-a-detecter.html

L'approche consiste à générer une fausse fenêtre contextuelle à l'intérieur de la page visitée, imitant parfaitement l'interface de connexion (de Facebook). Le code source révèle que l'URL officielle est codée en dur dans la page, histoire d'être plus convaincante.

Les adeptes de Facebook ont l'habitude de voir apparaître des pop-ups d'authentification lorsqu'ils se connectent à des services tiers avec leurs identifiants de connexion. C'est ce mécanisme qui est détourné.

Un mail alarmiste, un lien raccourci mène vers une fausse page de captcha Meta, avant d'afficher la fenêtre de connexion frauduleuse. Cela piège même les utilisateurs vigilants.

L'hébergement des pages malveillantes se fait sur des plateformes cloud légitimes comme Netlify ou Vercel.

L'IA est désormais capable de reproduire à l'identique des fenêtres de connexion, il est nécessaire de vérifier les URL.
L'authentification multifacteurs (MFA) reste le bouclier le plus efficace.