Les escroqueries qui utilisent les réseaux sociaux sont devenues très populaires auprès des cybercriminels. Les plateformes sociales leur permettent d’usurper votre identité et de gagner facilement votre confiance. Parfois, les cybercriminels passent des semaines à discuter avec vous sur les médias sociaux avant de monter leur arnaque. Et sachez que le nombre de ces escroqueries en ligne ne cesse d’évoluer, sans oublier le fait qu’elles sont devenues plus trompeuses à mesure que notre vie numérique se développe.

Il importe donc de connaître les signes de ces escroqueries en ligne, comme celle utilisant les réseaux sociaux, pour éviter de vous faire voler votre identité, votre réputation ou votre argent.

Le hameçonnage sur Instagram est l’une des nombreuses méthodes crédibles qui peuvent facilement vous faire passer pour une victime. Récemment, une campagne de phishing sur Instagram très convaincante a été identifiée. Elle utilise des avertissements sur les tentatives de connexion frauduleuse pour inciter les utilisateurs à visiter une page web de phishing où ils doivent confirmer leur identité en se connectant à leur compte.

Petit tour d’horizon autour du hameçonnage et des tentatives de connexion suspectes sur Instagram

Vous avez certainement entendu parler du phishing, mais savez-vous exactement la signification de ce mot ? En fait, c’est l’une des techniques les plus utilisées par les pirates informatiques pour duper les gens, et cela s’avère très rentable pour eux. Même les amateurs en matière de développement et d’informatique peuvent avoir recours à cette tactique, car il y a toujours des gens qui manquent de vigilance et qui vont ouvrir un e-mail de phishing et cliquer sur un lien malveillant qui y est intégré.

  • Les récentes statistiques révèlent qu’en 2020, environ 3,7 milliards de personnes envoient près de 269 milliards d’e-mails chaque jour. Selon les chercheurs de Symantec, environ un message électronique sur 2000 est un e-mail de phishing, c’est-à-dire que, chaque jour, près de 135 millions d’attaques de phishing sont lancées.
  • Une autre étude menée par Verizon rapporte qu’il faut moins de 80 secondes après le lancement de liens ou de messages frauduleux de masse sur le web pour que les premiers clics n’interviennent.

Même si les attaques de phishing sont généralement lancées via la messagerie électronique, les pirates n’hésitent pas à chercher d’autres moyens comme les appels téléphoniques (vishing), les services de messagerie (smishing), les applications et (comme pour notre cas) les médias sociaux, à l’instar d’Instagram. Les cybercriminels préfèrent utiliser ce réseau, car il compte actuellement plus d’un milliard d’utilisateurs mensuels actifs et offre un large public captif qui peut facilement devenir une victime.

Comment les cybercriminels peuvent-ils contrôler votre compte Instagram ?

Pour contrôler votre compte, un pirate informatique utilise généralement l’une des deux méthodes suivantes :

  • D’une part, il peut choisir de ne pas changer votre mot de passe ni de voler votre compte. Tout ce qu’il fait, c’est de suivre vos activités quotidiennes sur Instagram, sans être détecté. Il va ensuite se faire passer pour vous et demande à vos contacts des informations personnelles. En fait, Instagram est doté d’une fonction qui permet de « désenvoyer des messages » ou de « supprimer des conversations ». Lorsque le pirate obtient les informations qu’il recherche, il peut donc utiliser cette technique pour ne pas se faire remarquer.
  • L’autre méthode, en revanche, consiste à prendre totalement le contrôle sur votre compte. Il peut modifier vos informations et les supprimer pour rendre plus difficile pour vous la récupération de votre compte. Autrement dit, le compte appartiendra donc au hacker et, si vous avez un grand nombre de contacts, il pourra les vendre ou pirater leurs comptes en utilisant le vôtre.

À titre d’exemple, une attaque de phishing sur Instagram a été lancée pendant la pandémie du Covid-19. Les victimes avaient reçu un message des cybercriminels qui se faisaient passer pour un centre d’aide d’Instagram dans le but de voler des informations personnelles. Les pirates ont expliqué à leurs cibles qu’elles faisaient l’objet d’une plainte pour violation du droit d’auteur et que leurs comptes risquaient d’être supprimés. Un lien était fourni dans le message, redirigeant ceux qui avaient cliqué dessus vers un formulaire pour leur permettre d’entrer en contact avec l’équipe Instagram. À partir de là, les cybercriminels pouvaient récupérer facilement leurs identifiants de connexion et d’autres informations sensibles, ce qui leur a permis de prendre le contrôle des profils des victimes.

Les pirates font en sorte que les messages qu’ils envoient paraissent authentiques lors d’une attaque d’hameçonnage sur Instagram

Lors d’une récente attaque de phishing utilisant Instagram, les messages que les pirates ont envoyés comprennent le logo de la marque avec un avertissement informant l’utilisateur que quelqu’un a tenté de se connecter à son compte. Le message est une copie carbone (Cc) virtuelle des messages d’authentification authentiques à deux facteurs qui sont envoyés aux utilisateurs pour confirmer leur identité lorsqu’une tentative de connexion suspecte est détectée.

Les messages comprennent un code à 6 chiffres qui doit être saisi lors de la connexion au compte de l’utilisateur, ainsi qu’un hyperlien d’ouverture de session. Ce dernier est alors invité à se connecter pour confirmer son identité et sécuriser son compte.

Les messages sont bien écrits, bien qu’il y ait quelques erreurs de ponctuation qui suggèrent que l’e-mail n’est peut-être pas ce qu’il semble être. Ces erreurs pourraient facilement être négligées par une personne qui craint que son compte ait été piraté.

Non seulement le message est presque identique à l’avertissement 2FA d’Instagram, mais le site web vers lequel l’utilisateur est dirigé est également un clone parfait de la page de connexion authentique d’Instagram. La page web a un certificat SSL valide et commence par HTTPS et affiche le cadenas vert pour confirmer que la connexion entre le navigateur et la page web est sécurisée.

Le nom de domaine utilisé semble également sécurisé

Le seul signe qui pourrait indiquer que la page web n’est pas authentique est son nom de domaine. Les escrocs ont choisi un nom de domaine gratuit en .CF (République centrafricaine), ce qui indique clairement que la page web est un faux. Cependant, la présence de HTTPS et d’un cadenas vert pourrait tromper de nombreuses personnes en leur faisant croire qu’elles se trouvent sur un site sécurisé.

Beaucoup de gens croient à tort que la présence du HTTPS au début d’un site web et d’un cadenas vert signifie que le site web est authentique et sécurisé. Cependant, cela indique seulement que la connexion entre le navigateur et le site web est sécurisée et que toute information sensible fournie à ce site sera protégée contre l’accès non autorisé lors d’une attaque de type Man-in-The-Middle (MiTM). Pour faire simple, cela ne veut pas dire que le contenu de la page web est authentique.

Les sites web HTTPS sont souvent utilisés pour le phishing, car de nombreuses personnes cherchent le cadenas vert pour confirmer que le site est sécurisé. Malheureusement, les certificats SSL sont souvent fournis gratuitement par les sociétés d’hébergement et les contrôles sur le contenu du site ne sont pas effectués.

Il s’agit d’une question importante que les entreprises doivent couvrir dans le cadre de la formation de sensibilisation à la sécurité. Les employés devraient apprendre la véritable signification du cadenas vert et toujours vérifier soigneusement le nom de domaine avant de divulguer toute information sensible.

Quelques conseils à adopter si vous êtes victime d’une attaque de phishing sur Instagram

Vous venez de constater que vous avez saisi par inadvertance votre mot de passe et votre nom d’utilisateur sur une page de connexion à Instagram et que celle-ci semble suspecte ? Attention, car à partir de ce moment, quelqu’un d’autre pourrait se connecter à votre compte et causer certains dégâts. Voici donc les conseils à suivre.

  • Si vous pouvez encore accéder à votre compte, vous devrez le sécuriser. Pour cela, il suffit de réinitialiser votre mot de passe et de débrancher tous les appareils qui ne sont pas à vous.
  • Vous devez aussi ouvrir votre compte de messagerie électronique et vérifier si vous avez reçu un message provenant d’Instagram. Si c’est le cas et que l’e-mail vous informe que votre adresse e-mail a été modifiée, alors vous devrez annuler cette action en vous rendant sur l’option dédiée à cet effet. Si vous ne parvenez pas à annuler certaines actions, comme la modification de votre mot de passe, signalez le compte à Instagram.
  • Dans d’autres cas, vous n’allez plus pouvoir accéder à votre compte, ou bien vos identifiants de connexion ne fonctionneront plus. Le mieux à faire est donc de récupérer votre compte, en envoyant une demande à Instagram et en suivant les instructions spécifiques qui vous seront fournies.
  • Enfin, si vous ne pouvez plus récupérer votre compte via le code de sécurité qui vous est envoyé, signalez le compte piraté en envoyant un e-mail à l’adresse phish@instagram.com.

Utilisez une solution fiable comme WebTitan pour éviter les attaques de phishing

Les entreprises peuvent encore améliorer leurs défenses contre le phishing avec une solution de filtrage web telle que WebTitan. Avec WebTitan en place, elles peuvent contrôler soigneusement les types de sites web que leurs employés peuvent visiter sur leurs ordinateurs de travail.

WebTitan empêche également les utilisateurs d’accéder à tout site web connu pour être utilisé à des fins de phishing, de distribution de malwares ou à d’autres fins malveillantes. De plus, WebTitan effectue des contrôles en temps réel pour évaluer la légitimité d’un site web. Si les vérifications échouent, le site sera bloqué et l’utilisateur sera informé qu’il ne pourra pas y accéder.

Conclusion

Que vous soyez intéressé par des applications de messagerie instantanée ou d’autres outils en ligne, assurez-vous toujours de ne télécharger que des applications qui proviennent des développeurs de confiance. Même si une application a reçu des dizaines de commentaires positifs, ceux-ci pourraient toujours être faux.

Informez-vous sur les attaques de phishing via les médias sociaux, comme celle utilisant Instagram. Sur Internet, vous trouverez des tonnes d’informations et de conseils utiles à ce sujet.

Gardez à l’esprit que vos employés constituent la véritable ligne de défense de votre entreprise, quelle que soit sa taille. Pourtant, ils sont de plus en plus exposés aux escroqueries de phishing et ont donc besoin d’une formation sur la manière de mieux sécuriser votre entreprise et vos données.

Pour plus d’informations sur la façon dont un filtre web peut améliorer séla curité web de votre entreprise et protéger vos employés contre les attaques de phishing, contactez l’équipe TitanHQ dès aujourd’hui.

Questions fréquentes sur le phishing Instagram

Comment l’Authentification Multi Facteurs (AMF) contribue-t-elle à protéger les comptes des membres d’Instagram ?

L’AMF fournit une couche de sécurité qui va au-delà des simples identifiants de connexion. Si un pirate tente de se connecter à votre compte en utilisant des identifiants volés, il sera confronté à ce processus. S’il est incapable de fournir un deuxième facteur d’authentification, il ne pourra pas accéder à votre compte.

L’authentification multifacteurs ne risque-t-elle pas de bloquer mon compte Instagram ?

Ce processus peut bloquer votre compte si un pirate tente de s’y connecter et échoue plusieurs fois, en saisissant des noms d’utilisateurs et des mots de passe incorrects. Il est possible que vous ne puissiez pas vous connecter à votre compte pendant quelques heures, mais cela reste un moyen efficace de vous protéger contre les attaques de phishing. Il suffit d’attendre que la période de verrouillage soit expirée.

Que faire si mon compte Instagram semble piraté ?

La meilleure chose à faire est de mettre à jour vos coordonnées, comme votre adresse électronique, votre numéro de téléphone principal et votre numéro de téléphone secondaire. Si quelqu’un tente encore d’usurper votre identité et que les réponses aux questions sont incorrectes, il sera bloqué par le service d’Instagram.

Quelle devrait être la fréquence de la mise à jour d’une MFA pour une entreprise ?

Vous devez le faire chaque fois qu’un abonné accède au portail via un nouvel appareil, en utilisant votre réseau d’entreprise. Dans ce cas, l’employé devra suivre une procédure d’AMF qui peut évoluer au fur et à mesure que de nouvelles fonctions de sécurité sont ajoutées à votre compte Instagram.

Mais selon cet article, l’authentification à deux facteurs pourrait encore être ciblée, même si on utilise l’AMF. Alors que faire ?

C’est la triste réalité, mais vous pouvez toujours mettre en place une couche de protection tierce pour protéger votre organisation contre le phishing, qu’il soit lancé via les e-mails, le web ou les réseaux sociaux.