L’arnaque à éviter : la fausse certification Instagram
Une campagne d’emails de phishing cible les utilisateurs d’Instagram.
Le rapport Phishers’ Favorites indique que le premier semestre de l’année est celui qui a concentré le plus grand nombre d’attaques par hameçonnage, avec 81.447 URL de phishing uniques. On en compte tout de même 53.198 au 2e trimestre. Instagram a enregistré une augmentation de 683 %. Dans ce contexte, une société de cybersécurité révèle les dessous de l’une d’entre elles.
Par définition, l’hameçonnage consiste à piéger une cible pour qu’elle partage ses mots de passe, numéros de carte bancaire, ses identifiants ou d’autres données personnelles. Pour cela, dans un mail ou un appel, l’attaquant prétend être une institution de confiance.
Du style au design, des cybercriminels ont réussi à reproduire l’identité graphique d’Instagram. Un moyen pour eux de piéger leurs victimes avec des mails malveillants semblant provenir du réseau social. Ainsi, plusieurs milliers de messages d’hameçonnage suggérant une certification de compte Instagram sont envoyés chaque jour. D’après la société de cybersécurité Vade, l’opération est en cours depuis la fin du mois de juillet.
En tout, plus de 2.000 emails sont envoyés par les criminels quotidiennement. Leur particularité est qu’ils possèdent tous un objet identique, à savoir, la certification d’un profil Instagram. Selon le contenu du mail, le destinataire, donc la victime, serait désormais éligible à l’obtention de ce fameux badge bleu.
Une fois soudoyé, l’utilisateur est invité à cliquer sur un lien pour entrer ses identifiants et remplir un rapport. Concrètement, la fausse plateforme demande le nom, l’adresse électronique, le numéro de téléphone et le mot de passe du compte. Lorsque la victime finit de saisir ces données sur ce qu’elle pense être une plateforme d’Instagram, une page apparaît pour l’informer que son profil est vérifié et qu’Instagram la contactera dans les 48 heures. Bien sûr, la victime restera sans réponse.
Les cybercriminels ciblent les informations de connexion telles que l’email et le numéro de téléphone associés, car cela leur permet de réinitialiser et de vérifier la propriété du compte Instagram hameçonné. Une manœuvre utile dans le cas où l’avertissement de tentative de connexion suspecte serait déclenché du côté de la cible.
Comprendre le processus de certification
Les plateformes de médias sociaux proposent des badges de vérification. Ces derniers font office d’indicateurs de crédibilité auprès des utilisateurs. Pour obtenir un badge, les profils doivent répondre à une liste d’exigences diverses et subir un processus de vérification. Par exemple, les conditions d’Instagram stipulent que, pour obtenir ce badge, les utilisateurs doivent être une personnalité publique, une célébrité ou une marque. Ils doivent aussi répondre à certaines exigences en matière de compte et d’éligibilité.
Vous l’aurez compris, ce gage d’authenticité est très convoité et les attaquants en sont conscients. C’est pourquoi des campagnes d’hameçonnage, comme celle découverte par Vade prolifèrent. Contrairement au message de phishing “bas de gamme”, celui dont parle Vade ne comporte aucune faute d’orthographe. Le seul moyen de savoir qu’il s’agit d’un faux mail, est d’être conscient que, si vous n’avez pas fait de demande de certification, le réseau social ne vous enverra pas d’email. Aussi, il est possible de vérifier le nom de domaine du lien, qui n’est clairement pas instagram.com. enfin, le vrai réseau social ne demande jamais le mot de passe d’un compte e-mail lié comme confirmation.
