Le phishing sur les réseaux sociaux désigne une attaque exécutée sur des plateformes telles qu’Instagram, LinkedIn, Facebook ou Twitter. Le but de ce type d'attaque est de voler des données personnelles ou de contrôler votre compte de réseaux sociaux.
Les réseaux sociaux sont devenus aussi omniprésents que l’air que nous respirons. Les particuliers utilisent Facebook, Instagram, Twitter et une multitude d'autres plateformes pour garder le contact avec leurs amis et leur famille, rester au courant des dernières nouvelles, sortir et se connecter au monde.
Les entreprises utilisent également les réseaux sociaux pour tenir leurs clients informés des dernières offres de produits et évènements récents, à des fins marketing, et pour attirer de nouveaux clients. C’est pour cela que les réseaux sociaux sont une plateforme attrayante pour les acteurs malveillants qui souhaitent réaliser des attaques de phishing. Grâce à des outils comme Hidden Eye ou ShellPhish, ces types d’attaques de phishing sont devenus aussi faciles que d’exécuter une application.
Les informations glanées par les pirates sont notamment les identifiants de connexion à un réseau social, les informations de carte bancaire et des informations personnelles vous concernant, qui pourraient ensuite être utilisées pour lancer d’autres escroqueries et attaques.
Instagram est une plateforme populaire de partage de photographies et de messages. Les instagrameurs du monde entier utilisent cette plateforme comme un journal intime vidéo pour partager les activités et les moments de la vie quotidienne.
Une attaque de phishing sur Instagram commence par la création d’une fausse page de connexion à Instagram par un pirate informatique. Pour vous tromper, ces fausses pages sont conçues de façon à ressembler le plus possible au vrai site. Lorsque vous renseignez un identifiant et un mot de passe Instagram sur la page falsifiée, le pirate s’empare de vos informations d'identification. Vous êtes généralement redirigé vers la véritable page de connexion Instagram pour vous authentifier, mais le mal est déjà fait. Avec vos informations d'identification Instagram, l'attaquant a un accès complet à votre compte.
Si vous utilisez ces mêmes identifiants pour vous connecter sur d'autres sites de réseaux sociaux, ou pire encore, pour accéder à votre compte bancaire, l'assaillant pourrait potentiellement accéder à ces comptes également.
Une fois que le pirate informatique a accès à votre compte Instagram, il peut l’utiliser pour vous espionner. Il peut également se faire passer pour l’utilisateur légitime et demander des données à caractère personnel à vos amis et abonnés. Naturellement, il efface toutes ses traces en supprimant les messages frauduleux.
En poussant les choses plus loin, l'assaillant peut s'approprier complètement votre compte Instagram. Il peut modifier vos informations personnelles, vos préférences et même votre mot de passe, bloquant ainsi l’accès à votre propre compte.
LinkedIn est la plateforme de mise en réseau professionnelle la plus utilisée au monde. Les pirates informatiques vous envoient des emails, des messages LinkedIn et des liens pour vous inciter à divulguer des informations sensibles, des données de cartes de crédit, des informations personnelles et des identifiants de connexion. L'acteur malveillant peut pirater votre compte LinkedIn pour usurper votre identité et envoyer des messages de phishing à vos connexions, en vue de recueillir des données personnelles.
Le pirate peut également envoyer des emails qui semblent provenir directement de LinkedIn. Cela est possible en raison du fait que le site LinkedIn officiel possède plusieurs domaines d’emails légitimes, notamment linkedin@e.linkedin.com et linkedin@el.linkedin.com. Il est difficile de rester au fait des véritables domaines par rapport aux faux domaines utilisés par un assaillant.
Lancé au début des années 2000 et possédant plus de 2,9 milliards d’utilisateurs actifs, Facebook est le roi de tous les réseaux sociaux modernes. Des sites comme Friendster et MySpace l’ont précédé, mais Facebook a défini la manière dont les personnes et entreprises restent en contact avec les amis, la famille et les clients.
Une attaque de phishing classique sur Facebook s’effectue via un message ou un lien qui vous demande de fournir ou de confirmer vos informations personnelles. Il est envoyé via une publication Facebook ou sur la plateforme Facebook Messenger. Il est donc souvent difficile de faire la différence entre le message légitime d’un ami potentiel et une tentative de phishing.
Les informations récoltées via une tentative de phishing Facebook offrent aux attaquants les informations dont ils ont besoin pour accéder à votre compte Facebook. Vous pourriez recevoir un message vous indiquant qu'il y a un problème avec votre compte Facebook et que vous devez vous connecter pour corriger le problème.
Ces messages contiennent un lien, pratique à suivre, qui dirige vers un site ressemblant à Facebook. Une fois que vous avez atterri sur ce site imposteur, vous êtes invité à vous connecter. Le pirate peut alors récupérer vos identifiants de connexion. Prêtez attention à l’URL et assurez-vous que vous êtes redirigé vers www.facebook.com. Toute autre adresse est probablement une contrefaçon.
Facebook est conçu pour vous aider à rester en contact avec vos amis et la famille, tandis que LinkedIn permet de vous connecter à vos contacts professionnels. Twitter, quant à lui, vous permet d’interagir avec des personnes que vous n'avez jamais rencontrées dans le monde réel. Ce niveau de confort que ressentent les utilisateurs lorsqu'ils interagissent avec des inconnus a fait de Twitter une plateforme populaire pour les attaques de phishing.
Les pirates qui opèrent sur Twitter utilisent les mêmes tactiques et techniques de phishing que pour les autres plateformes de réseaux sociaux. Un acteur malveillant envoie de faux messages prétendant provenir de Twitter. Ces messages tentent de vous inciter à divulguer des informations sensibles telles que des identifiants de connexion, des informations personnelles, voire des données de carte de crédit. Twitter a clairement indiqué qu’il n’envoie des emails aux utilisateurs que depuis deux domaines : @twitter.com ou @e.twitter.com.
Ces attaques de phishing peuvent mener à d'autres attaques associées. Cela inclut les attaques « payer pour avoir des abonnés ». Avec cette méthode de phishing, vous recevez des messages de pirates qui prétendent pouvoir vous fournir un nombre spécifique d’« abonnés » pour seulement cinq dollars. Lorsque vous fournissez vos coordonnées et votre numéro de carte de crédit, vous permettez aux pirates de prélever des fonds sur votre compte et/ou de se connecter à votre compte Twitter et de poursuivre leur arnaque auprès de votre liste d'abonnés.