Le phishing sur les réseaux sociaux est une forme de cyberattaque utilisant des sites de réseaux sociaux plutôt que des e-mails. Bien que le canal soit différent, le but est le même: vous inciter à donner vos informations personnelles ou à télécharger un fichier malveillant.
Les réseaux sociaux sont un favori parmi les cybercriminels car il n'y a pas de pénurie de victimes. Et en raison de l'environnement de confiance, il existe une mine d'or de données privées qu'ils peuvent utiliser pour lancer une attaque de spear-phishing de suivi.
Voici comment ils le font sur certaines des plates-formes les plus populaires.
Facebook est la troisième marque la plus fréquemment usurpée pour les attaques de phishing. Avec plus de 2,6 milliards d’utilisateurs dans le monde, il est facile de comprendre pourquoi. La plate-forme offre une pléthore de profils et de messages regorgeant d'informations personnelles que les hameçonneurs peuvent exploiter.
Les attaques sur Facebook visent souvent les consommateurs et pas autant les grandes organisations. Les hameçonneurs utilisent l'ingénierie sociale pour inciter des victimes sans méfiance à exposer leurs données.
Ils prétendront être de Facebook et enverront des e-mails aux utilisateurs au sujet d'une alerte de sécurité, par exemple. À partir de là, les utilisateurs sont invités à se connecter à leur profil Facebook et à modifier leur mot de passe. Ils sont ensuite envoyés sur une fausse page de connexion Facebook où leurs identifiants sont collectés.
Comment le phishing cible vos amis
S'ils ont accès à votre compte, ils peuvent jeter un filet plus large en victimisant vos contacts. Ils peuvent également utiliser les informations que vos amis partagent avec vous dans le cadre d'une campagne de spear-phishing plus ciblée.
Les hameçonneurs utiliseront votre compte pour envoyer des messages ou publier un statut avec un lien malveillant. Et comme vos contacts vous font confiance, il y a plus de chances qu'ils cliquent dessus.
Qu'est-ce que le hameçonnage à la ligne?
C'est un type de phishing qui utilise les médias sociaux mais a un MO plus sophistiqué. Ils ciblent les utilisateurs qui publient (principalement des dénonciations) à propos d'un service ou de leur compte. Les attaquants se font passer pour le fournisseur de services, puis envoient à l'utilisateur un lien pour entrer en contact avec un représentant du service client.
Les fraudeurs utilisent des techniques de phishing pour tromper les victimes. Apprenez à détecter les attaques de phishing et à rester en sécurité en ligne.
Mais vous l'avez deviné: le lien mène à un faux site pour récolter des informations.
Ce qui était autrefois une galerie de selfies est maintenant une entreprise de plusieurs millions de dollars utilisée par les plus grandes marques et influenceurs du monde.
Comme les hameçonneurs sur Facebook, ceux qui exploitent Instagram envoient des e-mails aux utilisateurs les avertissant d'une alerte de sécurité. Par exemple, il peut s'agir d'un message concernant une tentative de connexion à partir d'un appareil inconnu. L'e-mail contient un lien qui dirige les utilisateurs vers un faux site où les informations de connexion sont collectées.
Une fois qu'ils y auront accès, ils disposeront d'une mine d'or d'informations personnelles à exploiter de différentes manières. Une attaque sinistre, par exemple, implique de vous faire chanter ou de faire du chantage à vos amis en menaçant de fuir les photos que vous avez partagées en privé ou via Instagram Direct Messenger (IGdm) si vous ne cédez pas à leur demandes.
Qu'est-ce qu'une escroquerie pour violation de droits d'auteur?
Si les hameçonneurs mettent la main sur des comptes professionnels, en particulier des comptes vérifiés, ils peuvent lancer des campagnes de phishing plus insidieuses via IGdm.
Un compte vérifié pour la succursale d'une grande entreprise au Chili, par exemple, a été signalé par des utilisateurs en juin 2020 pour l'envoi de messages de phishing.
Le message a alerté les utilisateurs d'une violation des droits d'auteur dans un message. Le reste du message disait: «Si vous pensez que la violation du droit d'auteur est erronée, vous devez fournir des commentaires. Sinon, votre compte sera fermé dans les 24 heures. " Le lien pour les commentaires était bien sûr une fausse page Instagram collectant les informations de connexion.
Qu'est-ce qu'une arnaque Blue Badge?
Rien ne semble aussi légitime que d'avoir ce chèque bleu tant convoité. Les hameçonneurs exploitent cela aussi.
Une escroquerie de phishing Instagram consiste à envoyer aux utilisateurs un e-mail leur offrant un badge certifié. Une fois que les utilisateurs cliquent sur le bouton "Vérifier le compte", ils sont redirigés vers une page de phishing où leurs informations personnelles seront collectées. La plupart du temps, les influenceurs et les utilisateurs «célèbres» sont ciblés pour ce type d'attaque.
Vérifier notre guide sur la procédure de vérification sur Instagram pour contourner ces escrocs.
La principale plate-forme de la communauté d'affaires mondiale utilisée par plus de 700 millions de professionnels est également une cible favorite des hameçonneurs.
Les gens font plus confiance à LinkedIn qu'à tout autre site de réseautage social selon un rapport de confiance numérique. Les utilisateurs sont également plus susceptibles de publier des détails sur leur travail, ce qui en fait une cible de choix pour le phishing et les attaques de chasse à la baleine.
L'une des campagnes de phishing les plus cruelles sur les réseaux sociaux est une attaque qui cible les demandeurs d'emploi sur Linkedin. Les cybercriminels se font passer pour un recruteur et contactent les utilisateurs au sujet d'un faux poste d'emploi via LinkedIn Messaging.
Les hameçonneurs vous attirent en disant que votre expérience est parfaite pour le rôle qu'ils essaient de remplir. Ils rendront cela encore plus irrésistible avec une rémunération accrue.
Vous verrez un lien qui, selon le phisher, contient tous les détails sur la tâche. Ils peuvent également envoyer une pièce jointe dans Microsoft Word ou Adobe PDF à télécharger.
Cela semble passionnant, surtout pour quelqu'un qui cherche un emploi. Mais les liens vous mènent à une page de destination falsifiée et le fichier Word contient des macros pour lancer des logiciels malveillants. Ce dernier pourrait voler vos données ou ouvrir une porte dérobée à votre système.
EN RELATION: Comment bloquer quelqu'un sur LinkedIn
Il existe deux fausses demandes de contact les plus courantes. Le premier voit les utilisateurs recevoir un e-mail les alertant d'une demande de contact. Cela vient avec un lien menant à une fausse page de connexion LinkedIn.
Le second est plus compliqué: il s'agit de créer de faux comptes et d'envoyer des demandes de connexion depuis LinkedIn. Une fois vous acceptez l'invitation, les hameçonneurs ont accès à plus d'informations dans votre profil et soyez au plus près de tous vos Connexions.
Ils peuvent ensuite envoyer un message de phishing ou utiliser vos informations pour lancer des attaques plus ciblées sur vos contacts. Être votre 1st-le contact de niveau leur donne également plus de crédibilité en faisant paraître leur profil plus légitime.
Soyez prudent avec les informations que vous publiez sur les réseaux sociaux. Surnoms, enseignants, couleurs préférées, écoles, date de naissance, ville natale, animaux de compagnie sont toutes des questions dans un test de mot de passe oublié. Je sais que les messages en chaîne sont cool et que le phishing est une chose. Les escrocs adorent les réseaux sociaux pour cela. Fais attention. 🖤
- MELISSA MEDINA 🔜 #IWOCon (@melissamedinavo) 10 novembre 2020
Pour vous protéger contre ces types d'attaques, ne cliquez pas sur les liens contenus dans les e-mails et les DM. Vérifiez la source. Même s'il semble que le message provient d'une personne en qui vous avez confiance, il est possible que son compte ait été piraté.
Appelez d'abord la personne pour vous assurer qu'elle est réelle, en particulier si le message contient des pièces jointes que vous êtes invité à télécharger.
Vérifiez toujours l'URL des sites Web que vous visitez. Les pirates produisent URL usurpées en modifiant une ou plusieurs lettres de l'URL de sites Web connus. Ils peuvent également utiliser des lettres symboliques pour ressembler aux lettres originales. Survolez les liens pour examiner l'intégralité de l'URL, qui devrait apparaître au bas de votre navigateur.
N'oubliez pas que la correspondance officielle des réseaux sociaux et d'autres organisations ne proviendra jamais de personnes utilisant des adresses e-mail avec des noms de domaine @gmail ou @yahoo.
D'autres signes révélateurs à surveiller sont les erreurs typographiques et grammaticales ou les messages qui vous poussent à agir. Ce dernier est conçu pour provoquer la peur ou la panique afin que vous n'ayez pas le temps de réfléchir.
Si vous vous exposez à des attaques de phishing sur les réseaux sociaux, vous risquez vos amis et vos proches, car les pirates peuvent utiliser votre compte comme passerelle pour y accéder également.
Heureusement, un peu de prudence et de bon sens contribue grandement à vous protéger.
Voici plusieurs façons dont votre identité peut être volée sur les réseaux sociaux. Oui, les escrocs peuvent voler votre identité sur Facebook!
- Des médias sociaux
- Sécurité
- Hameçonnage
- Escroqueries
- Sécurité en ligne
Loraine écrit pour des magazines, des journaux et des sites Web depuis 15 ans. Elle possède une maîtrise en technologie des médias appliquée et un vif intérêt pour les médias numériques, les études sur les médias sociaux et la cybersécurité.
Abonnez-vous à notre newsletter
Rejoignez notre newsletter pour des conseils techniques, des critiques, des ebooks gratuits et des offres exclusives!
Un pas de plus…!
Veuillez confirmer votre adresse e-mail dans l'e-mail que nous venons de vous envoyer.