Les réseaux sociaux sont devenus l’un des canaux utilisés pour nous présenter — que ce soit à titre personnel ou professionnel. Les entreprises y sont également présentes. Cette présence 100 % en ligne exige cependant des mesures de cybersécurité. Les réseaux sociaux offrent en effet aux pirates IT de multiples occasions de faire main basse sur vos données. Leur arme ? Les campagnes d’hameçonnage ou de phishing.
Pour vous protéger, vous pouvez par exemple apprendre à décoder les tactiques appliquées par les hackers pour s’emparer de vos informations sensibles. Ce type de précaution permet de renforcer la cybersécurité.
Dans cet article, nous vous disons tout sur le phishing qui sévit sur les réseaux sociaux afin de mieux le repérer et d’éviter de tomber dans le piège.
Le phishing sur les réseaux sociaux, c’est quoi ?
Le phishing ou l’hameçonnage sur les médias sociaux désigne un acte de cybercriminalité consistant à inciter les utilisateurs à transmettre des données sensibles. Pour les pirates IT à la manœuvre, l’objectif est de mettre la main sur vos données personnelles pour les revendre sur le dark web ou accéder à vos comptes de réseaux sociaux. Certains les utilisent même pour accéder à vos comptes bancaires ou plateformes financières.
Sur « les réseaux », ces hameçonneurs prospèrent, car ils profitent de l’effet de masse. Le nombre de victimes potentielles est en effet considérable. Il est aussi simple (voire plus simple) de créer un compte sur les réseaux sociaux que de créer un site web. Si pour un site web, il faut un hébergement web de base et un nouveau nom de domaine, pour un compte Instagram, Twitter, Facebook ou autre, il suffit d’un nom d’utilisateur, d’un mot de passe… et le tour est joué.
Le résultat ? À en croire les chiffres de 2022, on comptait dans le monde plus de 4,5 milliards de personnes sur les réseaux sociaux. Le nombre de comptes susceptibles de faire l’objet d’attaques de phishing y est encore plus élevé, car une personne possède généralement plusieurs comptes. On parle de 8,4 comptes en moyenne par utilisateur sur plusieurs canaux.
Prenons le bon côté des choses : vous pouvez sensibiliser vos troupes à l’hameçonnage sur les réseaux sociaux. Si vous êtes une entreprise, vous pouvez, par exemple, créer des landing pages spécifiques pour réaliser des simulations d’hameçonnage. Vous saurez ainsi combien de vos utilisateurs présents « sur les réseaux » sont vulnérables aux attaques de phishing. A vous, par la suite, de communiquer ces chiffres à vos équipes et de les conseiller sur les bons réflexes à avoir dans ce genre de situations.
Faites aussi attention à ne pas tomber dans le piège des hameçonneurs de réseaux sociaux. Si vous connaissez les stratégies d’attaque classiques, vous saurez déjouer les situations potentiellement dangereuses. Pensez à inclure une section consacrée à ce sujet dans votre plan marketing pour la vente au détail, en ligne ou en mode SaaS. Assurez-vous que tout le monde dans votre équipe connaît ces stratégies. Ainsi, chaque fois qu’ils commercialiseront vos produits sur les plateformes de réseaux sociaux, ils sauront prendre les précautions qui s’imposent.
Top 4 des réseaux sociaux les plus ciblés par le phishing
Les pirates peuvent lancer leurs attaques de phishing sur de nombreuses plateformes. Nous allons examiner ici les quatre réseaux sociaux qui sont souvent la cible de cyberescrocs. C’est parti !
1. Phishing sur Facebook
Il suffit d’à peine quelques minutes pour créer un faux profil sur un réseau social. Une fois dans la place, les arnaqueurs ont plusieurs tactiques à disposition pour essayer de convaincre leurs cibles de cliquer sur un lien dangereux.
Ces rois de l’entourloupe n’hésitent pas à se faire passer pour vos amis Facebook. Méfiance, donc, quand vous recevez des messages du style « regarde ce que j’ai trouvé » ou « c’est toi ? » accompagnés d’un lien. Voici ce à quoi cela pourrait ressembler :
Or, dès que vous cliquez sur le lien, vous êtes redirigé vers une fausse page de connexion Facebook, comme celle ci-dessous, où l’on vous demande de taper vos identifiants :
En observant attentivement l’URL, on voit clairement qu’il ne s’agit PAS d’une page Facebook légitime. Certains pirates vont plus loin et recourent au typosquatting pour donner à l’URL une apparence quasi identique à la vraie, comme amaz0n.com, ou ettsy.com. Méfiance donc, car les données personnelles saisies sur ces pages sont alors enregistrées par les escrocs.
Mais les arnaqueurs ne s’arrêtent pas là. Ils peuvent aussi se faire passer pour Facebook et vous envoyer des courriels vous alertant sur des problèmes de sécurité liés à votre compte Facebook. Ils évoqueront ainsi des activités violant les normes communautaires ou des tentatives de connexion supposément suspectes :
Voyez ce message. Alors ? Il est faux… tout comme l’adresse e-mail de l’expéditeur en haut de cette capture d’écran.
Ce même courriel vous invite à cliquer sur le bouton intégré afin de vérifier votre compte. Parfois, les escrocs vont jusqu’à vous menacer de supprimer votre page Facebook si vous ne vous exécutez pas. Or, ce bouton mène à la même fausse page de connexion Facebook utilisée pour recueillir vos identifiants de connexion.
2. Phishing sur Instagram
Les plateformes comme Instagram permettent aux utilisateurs d’échanger directement entre eux. Les escrocs en profitent donc pour créer de faux profils imitant ceux de vos amis ou de membres de votre famille. Pour cela, rien de plus simple : n’importe qui peut trouver toutes sortes d’informations en ligne — profession, adresse de résidence ou lieu de naissance. L’ajout d’une photo récente confère aux profils créés un réalisme saisissant.
Une fois leurs profils créés, les voleurs vous demandent de l’argent pour payer une facture ou leur octroyer un petit prêt.
Voici un aperçu de ce à quoi peut ressembler une tentative d’hameçonnage sur Instagram. Vous recevez un e-mail ou un message direct (MD) d’un compte Instagram ressemblant à un compte officiel. Le message vous informe d’un risque pour votre compte et vous enjoint à agir. Vous êtes invité à cliquer sur le lien et à saisir vos identifiants de connexion.
À première vue, l’e-mail peut sembler légitime, mais une simple vérification de l’adresse e-mail d’expédition permet de se rendre compte qu’il ne s’agit pas d’une adresse Instagram officielle. En cliquant sur le lien, vous risquez de compromettre votre compte.
Autre exemple : vous recevez une offre alléchante qui vous fait miroiter la possibilité de gagner le tout dernier iPhone. Un tel message peut s’avérer être une attaque de phishing Instagram, comme celle présentée ci-dessous :
Si vous cliquez sur le lien et communiquez vos données sensibles, les escrocs peuvent alors prendre le contrôle de votre compte et utiliser ces données pour se faire de l’argent.
3. Hameçonnage sur LinkedIn
LinkedIn est un réseau populaire auprès des demandeurs d’emploi et des entreprises qui recrutent. Le fait que cette plateforme soit fréquentée par des professionnels ne constitue pas pour autant un gage de sécurité absolue.
Les escrocs peuvent créer de fausses offres d’emploi et les publier à partir de fausses pages d’entreprise. Pour postuler, on vous demandera des données sensibles que les arnaqueurs pourront monnayer.
Évitez également de commenter des publications demandant des informations personnelles en échange d’un paiement ou d’une récompense. Voici un exemple de message frauduleux :
Sur LinkedIn, les usurpateurs d’identité tentent de profiter des utilisateurs en envoyant des e-mails expressément conçus pour voler leurs identifiants de connexion. S’ils cliquent sur les liens inclus aux messages, les destinataires risquent de télécharger, à leur insu, des logiciels malveillants sur leurs appareils.
Voici à quoi peut ressembler un courriel potentiellement dangereux :
Les utilisateurs qui cliquent sur le lien contenu dans un faux courriel sont redirigés vers une fausse landing page LinkedIn. Là, ils sont invités à saisir leur nom d’utilisateur et leur mot de passe. Or, s’ils transmettent leurs identifiants de connexion LinkedIn, c’est l’accès à de nombreux autres services qui utilisent la même authentification qui peut être compromis.
Soyez vigilant sur LinkedIn et méfiez-vous des faux recruteurs. Certains peuvent vous envoyer des documents à télécharger. Attention, car en téléchargeant des fichiers infectés, vous pourriez diffuser des logiciels malveillants sur votre poste via des macros invisibles aux yeux d’utilisateurs non formés.
Avant de répondre à une annonce, vérifiez toujours l’identité du recruteur ou de l’entreprise sur Google.
4. Phishing sur Twitter
Sur Twitter, l’une des arnaques les plus courantes est la diffusion de super opportunités d’investissement. Voici par exemple le tweet envoyé par les cybercriminels qui ont piraté les comptes de plusieurs personnalités, dont Elon Musk. Le message indique que, pour doubler leur mise, les followers doivent envoyer des paiements en bitcoins sur un compte en cryptomonnaie.
Certaines entreprises comme Amazon assurent également un support client via les réseaux sociaux, comme Twitter. Malgré l’aspect pratique pour les utilisateurs, cela revient à ouvrir un boulevard aux cybercriminels. Voici un message très douteux dans lequel un utilisateur de Twitter se voit demander de fournir des données sensibles, à savoir son nom, numéro de carte de crédit, date d’expiration et adresse de facturation associée au compte Amazon.
Pour créer un faux compte, le malfaiteur reprend quelques éléments d’identification d’une marque, puis diffuse ses posts et messages sur la twittosphère. Certains clients induits en erreur peuvent se faire piéger, et livrer leur mot de passe et d’autres informations personnelles.
Comment se protéger de l’hameçonnage sur les réseaux sociaux
Pour protéger vos comptes personnels et professionnels contre les attaques de phishing sur les réseaux sociaux, soyez prudent lorsque vous communiquez des informations sensibles.
Respectez ces principes :
- Ne communiquez ni vos identifiants de connexion ni aucune information que vous utilisez pour vos comptes bancaires.
- Ne cliquez jamais sur un lien pour mettre à jour vos données personnelles.
- Rendez-vous directement sur la plateforme pour vérifier si des mises à jour sont nécessaires.
- Évitez d’utiliser le même nom d’utilisateur et le même mot de passe sur différents comptes de médias sociaux.
- Utilisez des mots de passe forts.
- Mettez régulièrement à jour vos logiciels, votre système d’exploitation et vos certificats SSL. De nombreuses attaques réussies exploitent des vulnérabilités non corrigées.
En conclusion
Tant que les réseaux sociaux seront utilisés pour réseauter et communiquer, les cybercriminels tenteront de piéger les utilisateurs afin de prendre le contrôle de leurs comptes. Pour se protéger des attaques d’hameçonnage sur les réseaux, il est indispensable d’en connaître les principes.
Si votre entreprise perd le contrôle de ses identifiants sur les réseaux sociaux, les conséquences peuvent être dramatiques, en termes de réputation, de pertes de revenus, etc.
Dans ce guide, vous avez découvert quels étaient les quatre canaux sociaux les plus utilisés par les escrocs — Facebook, Instagram, LinkedIn et Twitter. Vous pouvez maintenant alerter vos clients, vos collaborateurs, vos amis et les membres de votre famille sur les signes auxquels prêter attention pour reconnaître une attaque de phishing sur les médias sociaux.
Remarque : cet article de blog a été rédigé par un contributeur invité dans le but d'offrir une plus grande variété de contenu à nos lecteurs. Les opinions exprimées dans cet article sont uniquement celles du contributeur et ne reflètent pas nécessairement celles de GlobalSign.