Facebook, Instagram, LinkedIn, le phishing à l’assaut des réseaux sociaux

Cropped Favicon Economi Matin.jpg
Par Adrien Gendre Publié le 16 décembre 2019 à 5h19
Dark Web Securite Informatique Internet
@shutter - © Economie Matin
6 DOLLARSUn dossier d'informations personnelles se vend environ 6 dollars sur le dark web.

La croissance du phishing sur les réseaux sociaux est directement liée à la montée en puissance des entreprises qui les gèrent, qu’il s’agisse de Facebook, d’Instagram ou encore de LinkedIn. En effet, toutes ont considérablement élargi leurs activités en proposant de nouvelles fonctionnalités et en s’intégrant à des applications tierces. Ainsi, pour un hacker, les réseaux sociaux renferment non seulement de nombreuses victimes potentielles, mais également une kyrielle de points d’accès.

Lien entre ingénierie sociale et réseaux sociaux

L’ingénierie sociale consiste à manipuler une personne pour l’inciter à divulguer des données confidentielles. Pour être efficace, cette stratégie impose à son auteur de recueillir des informations personnelles sur ses victimes. Et quoi de mieux que les médias sociaux pour y parvenir ?

Aujourd’hui, près de 3,4 milliards de personnes dans le monde sont utilisatrices. Nous continuons à nous exposer à des attaques en persistant à ignorer les multiples avertissements qui nous invitent à sécuriser nos comptes à l’aide de mots de passe forts et à éviter de dévoiler des informations trop intimes. Nous n’hésitons ainsi pas à révéler où nous nous trouvons, pour qui nous votons, les difficultés financières et de santé que nous rencontrons, les hauts et les bas de notre carrière… Or, ces informations sont en réalité exactement ce dont ont besoin les cybercriminels pour taper dans le mille.

Phishing sur Facebook

Personne ne sera surpris d’apprendre que le réseau social le plus fréquenté et le plus influent de la planète est aussi le plus ciblé par les hackers. Au 2e trimestre 2019, le nombre d’URL de phishing visant Facebook a ainsi augmenté de plus de 175 %, le faisant ainsi devenir la troisième marque la plus touchée par des attaques de ce type.

Ce regain d’intérêt intervient après une période beaucoup plus calme entre les 2e et 4e trimestres 2018. Pour bien comprendre ce pic d’activité, nous devons étudier comment Facebook est devenu le géant qu’il est aujourd’hui. En 2007, Facebook ne comptait que 20 millions d’utilisateurs. Après l’ouverture de sa plateforme aux développeurs tiers, le réseau a engrangé en moyenne 200 millions de nouveaux utilisateurs chaque année.

Or, les applications que ces développeurs intégraient au réseau stockaient des quantités faramineuses de données sur leurs utilisateurs. Ces données ont fini par arriver sur le marché noir, pour environ 5,20 $ le dossier en 2017. Armés de ces données, les cybercriminels avaient toute latitude pour lancer diverses attaques contre leurs victimes.

Les révélations concernant les fuites de données issues de Facebook se sont multipliées. Par conséquent, les utilisateurs du réseau sont désormais habitués à recevoir des communications relatives à ses initiatives en faveur du respect de la vie privée. Dans certains cas, ces emails ne proviennent toutefois pas de Facebook, mais de hackers. À l’affût en raison du flux constant d’actualités négatives, les utilisateurs s’exécutent donc rapidement lorsque les hackers les invitent à mettre à jour leur mot de passe Facebook, divulguant sans le savoir les données qu’ils pensaient protéger.

Dans d’autres cas, les hackers exploitent directement les applications tierces pour dérober les données. C’est notamment le cas de l’API de connexion universelle de Facebook, qui permet aux utilisateurs de se connecter à des dizaines de milliers d’applications directement depuis le réseau. Les hackers tirent parti de cette fonctionnalité en créant des pages de phishing pensées pour ressembler comme deux gouttes d’eau à des pages Facebook Login. L’utilisateur pense ainsi se connecter à une application populaire, alors qu’en réalité il envoie ses informations d’identification au hacker.

Phishing sur Instagram

Connu à une époque pour n’être qu’une base de données de selfies, Instagram est aujourd’hui devenu un géant de la publicité et un tremplin incontournable pour les stars d’Internet. Le phishing et le spear phishing visant Instagram ont ainsi explosé au cours des dernières années, alors que le réseau a atteint 1 milliard d’utilisateurs.

Ces attaques sont variées et peuvent aller des demandes de mise à jour du mot de passe envoyées sous forme d’email de phishing aux attaques en plusieurs étapes commençant par du phishing et se terminant par du spear phishing au sein même du réseau… Au cours de ces attaques, le hacker récolte les informations d’identification de l’utilisateur sur une fausse page de connexion, puis lance des attaques de phishing et spear phishing contre les abonnés du compte compromis. Dans d’autres cas, le hacker peut s’emparer du compte à l’aide d’une attaque de phishing, puis exiger une rançon contre la promesse de ne pas diffuser des informations et images compromettantes.

Au cours d’une campagne de phishing à l’efficacité redoutable, un hacker s’est attaqué à ses victimes en exploitant l’une des faiblesses les plus profondes des jeunes et des adultes du monde entier : le besoin de reconnaissance. Le badge Vérifié d’Instagram est plus qu’une petite coche sur fond bleu ; il confirme qu’un utilisateur est une célébrité, un influenceur ou une marque. Les hackers se faisant passer pour Instagram envoient des emails de phishing à leurs victimes en leur demandant de se connecter sur le réseau pour activer leur badge Vérifié. Ils subtilisent alors leurs identifiants via une page frauduleuse.

Tout le monde ne court pas après cette petite coche, mais ce badge inspire confiance, et ce sur tous les réseaux sociaux. Plus qu’un symbole d’influence, il s’agit d’un symbole de confiance qu’un hacker peut utiliser pour manipuler ses victimes.

Phishing sur LinkedIn

Les recruteurs sont en permanence à la recherche de nouveaux candidats, et il n’est donc pas surprenant qu’ils contactent les utilisateurs de LinkedIn via des InMail. Les hackers se font passer pour ces recruteurs et demandent aux personnes en recherche d’emploi de leur communiquer des informations sur une page de phishing, de payer une formation et/ou le service de recrutement, ou même de télécharger un formulaire de candidature ou une description du poste. Bien souvent, ces documents prennent la forme d’un fichier PDF ou d’un fichier Word avec macros qui lancent le malware. Dans d’autres cas, le lien mène vers un site Web qui télécharge le malware.

Une nouvelle tendance a fait son apparition sur LinkedIn : la fausse demande d’entrée en relation. Il est aujourd’hui très simple de se créer une fausse identité sur LinkedIn. Pour exemple, le service en ligne https://www.thispersondoesnotexist.com/ permet de générer des visages plus vrais que nature, de personnes n’ayant jamais existé. En se basant sur une intelligence artificielle, plusieurs images sont analysées, découpées puis assemblées dans le but de recréer un visage qui n’existe pas. Pour aller plus loin, d’autres services comme https://www.linkedjetpack.com/, permettent de créer une identité réaliste avec une réelle influence sur LinkedIn, en mettant en avant les compétences du faux profil mais aussi en obtenant des recommandations.

Le hacker peut alors créer des mises en relation de masse et dérober les informations disponibles sur les profils (numéro de téléphone, email…). Il ne lui reste plus qu’à envoyer un email frauduleux de mise en relation qui cette fois, dirigera la cible vers une page de phishing dans le but de récupérer ses accès.

Comme les exemples concernant Instagram mentionnés ci-dessus, il s’agit du moyen idéal pour un hacker de s’emparer d’un compte LinkedIn. En se faisant passer pour un autre utilisateur et parfois pour un influenceur, le hacker peut entrer en relation avec d’autres personnes via inMail et lancer des attaques de phishing ou de spear phishing. Il a également tout le loisir de partager des contenus et d’interagir avec les millions d’autres utilisateurs du réseau, en ruinant au passage des réputations.

Se protéger du phishing qui sévit sur les réseaux sociaux

La plupart des emails de phishing ciblant les médias sociaux sont envoyés sur des adresses personnelles plutôt que sur des adresses professionnelles. Toutefois, les objets de ces emails sont pensés pour tromper (« Alerte de sécurité ! ») et les hackers n’hésitent pas à cibler les adresses professionnelles. Les victimes exposées au phishing réagissent de manière émotionnelle, sans prendre de recul, et cliquent sur le lien sans remarquer la supercherie.

Une sécurité de l’email solide dotée d’une technologie anti-phishing au moment du clic est essentielle pour protéger l’entreprise et ses clients des tentatives d’ingénierie sociale et de phishing. Par ailleurs, il ne faut pas sous-estimer l’importance d’une sensibilisation au phishing. Les attaques de phishing sont très élaborées, et il est possible que certaines passent entre les mailles du filet. Les utilisateurs sensibilisés courent moins de risque de tomber dans le panneau et ceux qui sont alertés immédiatement au moment du clic sont bien moins susceptibles de commettre la même erreur deux fois.

Laissez un commentaire
Cropped Favicon Economi Matin.jpg

Chief Solution Architect chez Vade Secure

Aucun commentaire à «Facebook, Instagram, LinkedIn, le phishing à l’assaut des réseaux sociaux»

Laisser un commentaire

* Champs requis