Une campagne d’e-mails de phishing cible les utilisateurs d’Instagram.
Le rapport Phishing Favorites montre que le premier semestre de l’année a été le plus important pour les attaques de phishing, avec 81 447 URL de phishing uniques. Il en reste encore 53 198 au 2ème trimestre. Instagram a vu une augmentation de 683 %. Dans ce contexte, une entreprise de cybersécurité révèle les dessous de l’un d’entre eux.
Par définition, le phishing consiste à inciter une cible à partager ses mots de passe, numéros de carte de crédit, identifiants de connexion ou autres informations personnelles. Pour cela, dans un mail ou un appel, l’attaquant se fait passer pour une institution de confiance.
Du style au design, les cybercriminels ont réussi à reproduire l’identité graphique d’Instagram. Une façon de piéger leurs victimes avec des emails malveillants qui semblent provenir du réseau social. Ainsi, plusieurs milliers de messages de phishing sont envoyés chaque jour suggérant une certification d’un compte Instagram. Selon la société de cybersécurité Vade, l’opération est en cours depuis fin juillet.
Au total, plus de 2 000 e-mails sont envoyés chaque jour par des criminels. Leur particularité est qu’ils ont tous un objet identique, c’est-à-dire la certification d’un profil Instagram. Selon le contenu de l’e-mail, le destinataire, donc la victime, pouvait désormais obtenir ce fameux badge bleu.
Une fois soudoyé, l’utilisateur est invité à cliquer sur un lien pour entrer ses informations d’identification et remplir un rapport. Plus précisément, la fausse plateforme vous demande votre nom, votre adresse e-mail, votre numéro de téléphone et le mot de passe de votre compte. Lorsque la victime a fini de saisir ces informations dans ce qu’elle pense être une plateforme Instagram, une page apparaît l’informant que son profil est vérifié et qu’Instagram la contactera dans les 48 heures. Bien sûr, la victime restera insensible.
Les cybercriminels ciblent les identifiants de connexion, tels que l’e-mail et le numéro de téléphone associés, car cela leur permet de réinitialiser et de vérifier la propriété du compte Instagram compromis. Une manœuvre utile dans le cas où l’avertissement de tentative de connexion suspecte est déclenché du côté cible.
Comprendre le processus de certification
Les plateformes de médias sociaux proposent des badges de vérification. Ceux-ci servent d’indicateurs de crédibilité auprès des utilisateurs. Pour gagner un badge, les profils doivent répondre à une liste de diverses exigences et subir un processus de vérification. Par exemple, les conditions d’Instagram stipulent que pour gagner ce badge, les utilisateurs doivent être une personnalité publique, une célébrité ou une marque. Ils doivent également répondre à certaines exigences de compte et d’éligibilité.
Comme vous l’avez peut-être compris, cette garantie d’authenticité est très convoitée et les attaquants en sont conscients. C’est pourquoi les campagnes de phishing se multiplient, comme celle découverte par Vade. Contrairement au message de phishing “bas de gamme”, celui dont parle Vade n’a pas de fautes de frappe. La seule façon de savoir qu’il s’agit d’un faux e-mail est de savoir que si vous n’avez pas demandé de certification, le réseau social ne vous enverra pas d’e-mail. Aussi, il est possible de vérifier le nom de domaine du lien, qui n’est clairement pas instagram.com. Enfin, le vrai réseau social ne demande jamais le mot de passe d’un compte de messagerie lié comme confirmation.
_Suivez Geeko sur Facebook, Youtube et Instagram pour ne rien rater de l’actualité, des tests et des astuces.