La croissance du phishing sur les réseaux sociaux est directement liée à la montée en puissance des entreprises qui les gèrent, qu’il s’agisse de Facebook, d’Instagram ou encore de LinkedIn, analyse Adrien Gendre, Chief Solution Architect chez Vade Secure pour les lecteurs de Solutions Numériques.
Toutes ont considérablement élargi leurs activités en proposant de nouvelles fonctionnalités et en s’intégrant à des applications tierces. Ainsi, pour un hacker, les réseaux sociaux renferment non seulement de nombreuses victimes potentielles, mais également une kyrielle de points d’accès.
Lien entre ingénierie sociale et réseaux sociaux
L’ingénierie sociale consiste à manipuler une personne pour l’inciter à divulguer des données confidentielles. Pour être efficace, cette stratégie impose à son auteur de recueillir des informations personnelles sur ses victimes. Et quoi de mieux que les médias sociaux pour y parvenir ?
Aujourd’hui, près de 3,4 milliards de personnes dans le monde sont utilisatrices. Nous continuons à nous exposer à des attaques en persistant à ignorer les multiples avertissements qui nous invitent à sécuriser nos comptes à l’aide de mots de passe forts et à éviter de dévoiler des informations trop intimes. Nous n’hésitons ainsi pas à révéler où nous nous trouvons, pour qui nous votons, les difficultés financières et de santé que nous rencontrons, les hauts et les bas de notre carrière… Or ces informations sont en réalité exactement ce dont ont besoin les cybercriminels pour taper dans le mille.
Phishing sur Facebook
Personne ne sera surpris d’apprendre que le réseau social le plus fréquenté et le plus influent de la planète est aussi le plus ciblé par les hackers. Au 2e trimestre 2019, le nombre d’URL de phishing visant Facebook a ainsi augmenté de plus de 175 %, le faisant ainsi devenir la troisième marque la plus touchée par des attaques de ce type.
Ce regain d’intérêt intervient après une période beaucoup plus calme entre les 2e et 4e trimestres 2018. Pour bien comprendre ce pic d’activité, nous devons étudier comment Facebook est devenu le géant qu’il est aujourd’hui. En 2007, Facebook ne comptait que 20 millions d’utilisateurs. Après l’ouverture de sa plateforme aux développeurs tiers, le réseau a engrangé en moyenne 200 millions de nouveaux utilisateurs chaque année.
Or les applications que ces développeurs intégraient au réseau stockaient des quantités faramineuses de données sur leurs utilisateurs. Ces données ont fini par arriver sur le marché noir, pour environ 5,20 $ le dossier en 2017. Armés de ces données, les cybercriminels avaient toute latitude pour lancer diverses attaques contre leurs victimes.
Les révélations concernant les fuites de données issues de Facebook se sont multipliées. Par conséquent, les utilisateurs du réseau sont désormais habitués à recevoir des communications relatives à ses initiatives en faveur du respect de la vie privée. Dans certains cas, ces emails ne proviennent toutefois pas de Facebook, mais de hackers. À l’affût en raison du flux constant d’actualités négatives, les utilisateurs s’exécutent donc rapidement lorsque les hackers les invitent à mettre à jour leur mot de passe Facebook, divulguant sans le savoir les données qu’ils pensaient protéger.
Dans d’autres cas, les hackers exploitent directement les applications tierces pour dérober les données. C’est notamment le cas de l’API de connexion universelle de Facebook, qui permet aux utilisateurs de se connecter à des dizaines de milliers d’applications directement depuis le réseau. Les hackers tirent parti de cette fonctionnalité en créant des pages de phishing pensées pour ressembler comme deux gouttes d’eau à des pages Facebook Login. L’utilisateur pense ainsi se connecter à une application populaire, alors qu’en réalité il envoie ses informations d’identification au hacker.
Phishing sur Instagram
Connu à une époque pour n’être qu’une base de données de selfies, Instagram est aujourd’hui devenu un géant de la publicité et un tremplin incontournable pour les stars d’Internet. Le phishing et le spear phishing visant Instagram ont ainsi explosé au cours des dernières années, alors que le réseau a atteint 1 milliard d’utilisateurs.
Ces attaques sont variées et peuvent aller des demandes de mise à jour du mot de passe envoyées sous forme d’email de phishing aux attaques en plusieurs étapes commençant par du phishing et se terminant par du spear phishing au sein même du réseau… Au cours de ces attaques, le hacker récolte les informations d’identification de l’utilisateur sur une fausse page de connexion, puis lance des attaques de phishing et spear phishing contre les abonnés du compte compromis. Dans d’autres cas, le hacker peut s’emparer du compte à l’aide d’une attaque de phishing, puis exiger une rançon contre la promesse de ne pas diffuser des informations et images compromettantes.
Au cours d’une campagne de phishing à l’efficacité redoutable, un hacker s’est attaqué à ses victimes en exploitant l’une des faiblesses les plus profondes des jeunes et des adultes du monde entier : le besoin de reconnaissance. Le badge Vérifié d’Instagram est plus qu’une petite coche sur fond bleu ; il confirme qu’un utilisateur est une célébrité, un influenceur ou une marque. Les hackers se faisant passer pour Instagram envoient des emails de phishing à leurs victimes en leur demandant de se connecter sur le réseau pour activer leur badge Vérifié. Ils subtilisent alors leurs identifiants via une page frauduleuse.
Tout le monde ne court pas après cette petite coche, mais ce badge inspire confiance, et ce sur tous les réseaux sociaux. Plus qu’un symbole d’influence, il s’agit d’un symbole de confiance qu’un hacker peut utiliser pour manipuler ses victimes.
Phishing sur LinkedIn
Les recruteurs sont en permanence à la recherche de nouveaux candidats, et il n’est donc pas surprenant qu’ils contactent les utilisateurs de LinkedIn via des InMail. Les hackers se font passer pour ces recruteurs et demandent aux personnes en recherche d’emploi de leur communiquer des informations sur une page de phishing, de payer une formation et/ou le service de recrutement, ou même de télécharger un formulaire de candidature ou une description du poste. Bien souvent, ces documents prennent la forme d’un fichier PDF ou d’un fichier Word avec macros qui lancent le malware. Dans d’autres cas, le lien mène vers un site Web qui télécharge le malware.
Une nouvelle tendance a fait son apparition sur LinkedIn : la fausse demande d’entrée en relation. Les hackers créent des emails LinkedIn frauduleux demandant à l’utilisateur d’accepter la demande d’entrée en relation. Lorsque leur victime se connecte sur LinkedIn pour s’exécuter, ses informations d’identification sont volées. Comme les exemples concernant Instagram mentionnés ci-dessus, il s’agit du moyen idéal pour un hacker de s’emparer d’un compte LinkedIn. En se faisant passer pour un autre utilisateur et parfois pour un influenceur, le hacker peut entrer en relation avec d’autres personnes via inMail et lancer des attaques de phishing ou de spear phishing. Il a également tout loisir de partager des contenus et d’interagir avec les millions d’autres utilisateurs du réseau, en ruinant au passage des réputations.
Se protéger du phishing qui sévit sur les réseaux sociaux
La plupart des emails de phishing ciblant les médias sociaux sont envoyés sur des adresses personnelles plutôt que sur des adresses professionnelles. Toutefois, les objets de ces emails sont pensés pour tromper (« Alerte de sécurité ! ») et les hackers n’hésitent pas à cibler les adresses professionnelles. Les victimes exposées au phishing réagissent de manière émotionnelle, sans prendre de recul, et cliquent sur le lien sans remarquer la supercherie.
Une sécurité de l’email solide dotée d’une technologie anti-phishing au moment du clic est essentielle pour protéger l’entreprise et ses clients des tentatives d’ingénierie sociale et de phishing. Par ailleurs, il ne faut pas sous-estimer l’importance d’une sensibilisation au phishing. Les attaques de phishing sont très élaborées, et il est possible que certaines passent entre les mailles du filet. Les utilisateurs sensibilisés courent moins de risque de tomber dans le panneau et ceux qui sont alertés immédiatement au moment du clic sont bien moins susceptibles de commettre la même erreur deux fois.