Avez-vous repéré ces attaques de phishing courantes sur les réseaux sociaux?

Le phishing sur les réseaux sociaux est une forme de cyberattaque utilisant des sites de réseaux sociaux plutôt que des e-mails. Bien que le canal soit différent, l'objectif est le même: vous inciter à donner vos informations personnelles ou à télécharger un fichier malveillant.

Les réseaux sociaux sont un favori parmi les cybercriminels car il n'y a pas de pénurie de victimes. Et en raison de l'environnement de confiance, il existe une mine d'or de données privées qu'ils peuvent utiliser pour lancer une attaque de suivi par spear-phishing.

Voici comment ils le font sur certaines des plateformes les plus populaires.

Facebook

Facebook est la troisième marque la plus fréquemment usurpée pour les attaques de phishing. Avec plus de 2,6 milliards d'utilisateurs dans le monde, il est facile de comprendre pourquoi. La plate-forme offre une pléthore de profils et de messages regorgeant d'informations personnelles que les hameçonneurs peuvent exploiter.

Les attaques sur Facebook visent souvent les consommateurs et pas autant les grandes organisations. Les hameçonneurs utilisent l'ingénierie sociale pour inciter des victimes sans méfiance à exposer leurs données.

Ils prétendront être de Facebook et enverront des e-mails aux utilisateurs au sujet d'une alerte de sécurité, par exemple. À partir de là, les utilisateurs sont invités à se connecter à leur profil Facebook et à modifier leur mot de passe. Ils sont ensuite envoyés vers une fausse page de connexion Facebook où leurs informations d'identification sont collectées.

Comment le phishing cible vos amis

S'ils ont accès à votre compte, ils peuvent jeter un filet plus large en victimisant vos contacts. Ils peuvent également utiliser les informations que vos amis partagent avec vous dans le cadre d'une campagne de spear-phishing plus ciblée.

Les hameçonneurs utiliseront votre compte pour envoyer des messages ou publier un statut avec un lien malveillant. Et parce que vos contacts vous font confiance, il y a plus de chances qu'ils cliquent dessus.

Qu'est-ce que le hameçonnage à la ligne?

Il s'agit d' un type de phishing qui utilise les réseaux sociaux mais dont le MO est plus sophistiqué. Ils ciblent les utilisateurs qui publient (principalement des dénonciations) sur un service ou leur compte. Les attaquants se font passer pour le fournisseur de services, puis envoient à l'utilisateur un lien pour entrer en contact avec un représentant du service client.

Mais vous l'avez deviné: le lien mène à un faux site pour récolter des informations.

Instagram

Ce qui était autrefois une galerie de selfies est maintenant une entreprise de plusieurs millions de dollars utilisée par les plus grandes marques et influenceurs du monde.

Comme les hameçonneurs sur Facebook, ceux qui exploitent Instagram envoient des e-mails aux utilisateurs les avertissant d'une alerte de sécurité. Par exemple, il peut s'agir d'un message concernant une tentative de connexion à partir d'un appareil inconnu. L'e-mail contient un lien qui dirige les utilisateurs vers un faux site où les informations de connexion sont collectées.

Une fois qu'ils auront accès, ils disposeront d'une mine d'or d'informations personnelles à exploiter de différentes manières. Une attaque sinistre, par exemple, consiste à vous faire chanter, vous ou vos amis, en menaçant de divulguer des photos que vous avez partagées en privé ou via Instagram Direct Messenger (IGdm) si vous ne cédez pas à leurs demandes.

Si les hameçonneurs mettent la main sur des comptes professionnels, en particulier des comptes vérifiés, ils peuvent lancer des campagnes de phishing plus insidieuses via IGdm.

Un compte vérifié pour la succursale d'une grande entreprise au Chili, par exemple, a été signalé par des utilisateurs en juin 2020 pour l'envoi de messages de phishing.

Le message a alerté les utilisateurs d'une violation des droits d'auteur dans un message. Le reste du message disait: «Si vous pensez que la violation du droit d'auteur est erronée, vous devez fournir des commentaires. Sinon, votre compte sera fermé dans les 24 heures. " Le lien pour les commentaires était bien sûr une fausse page Instagram collectant les informations de connexion.

Qu'est-ce qu'une arnaque Blue Badge?

Rien ne semble aussi légitime que d'avoir ce chèque bleu tant convoité. Les hameçonneurs exploitent cela aussi.

Une escroquerie de phishing Instagram consiste à envoyer aux utilisateurs un e-mail leur offrant un badge certifié. Une fois que les utilisateurs cliquent sur le bouton «Vérifier le compte», ils sont redirigés vers une page de phishing où leurs informations personnelles seront collectées. La plupart du temps, les influenceurs et les utilisateurs «célèbres» sont visés par ce type d'attaque.

Consultez notre guide sur la façon de se faire vérifier sur Instagram pour contourner ces fraudeurs.

LinkedIn

La principale plate-forme de la communauté d'affaires mondiale utilisée par plus de 700 millions de professionnels est également une cible favorite des hameçonneurs.

Selon un rapport de confiance numérique, les gens font plus confiance à LinkedIn qu'à tout autre site de réseau social. Les utilisateurs sont également plus susceptibles de publier des détails sur leur travail, ce qui en fait une cible de choix pour le phishing et les attaques de chasse à la baleine.

Comment les faux recruteurs escroquent les utilisateurs de LinkedIn

L'une des campagnes de phishing les plus cruelles sur les réseaux sociaux est une attaque qui cible les demandeurs d'emploi sur LinkedIn. Les cybercriminels se font passer pour un recruteur et contactent les utilisateurs au sujet d'un faux poste d'emploi via LinkedIn Messaging.

Les hameçonneurs vous attirent en disant que votre expérience est parfaite pour le rôle qu'ils essaient de remplir. Ils rendront cela encore plus irrésistible avec une rémunération accrue.

Vous verrez un lien qui, selon le phisher, contient tous les détails sur le travail. Alternativement, ils peuvent envoyer une pièce jointe dans Microsoft Word ou Adobe PDF à télécharger.

Cela semble passionnant, surtout pour quelqu'un qui cherche un emploi. Mais les liens vous mènent à une page de destination falsifiée et le fichier Word contient des macros pour lancer des logiciels malveillants. Ce dernier pourrait voler vos données ou ouvrir une porte dérobée à votre système.

CONNEXION: Comment bloquer quelqu'un sur LinkedIn

Avez-vous reçu de fausses demandes de contact?

Il existe deux fausses demandes de contact les plus courantes. Le premier voit les utilisateurs recevoir un e-mail les alertant d'une demande de contact. Cela vient avec un lien menant à une fausse page de connexion LinkedIn.

Le second est plus compliqué: il s'agit de créer de faux comptes et d'envoyer des demandes de connexion depuis LinkedIn. Une fois que vous avez accepté l'invitation, les hameçonneurs ont accès à plus d'informations dans votre profil et se rapprochent de toutes vos connexions.

Ils peuvent ensuite envoyer un message de phishing ou utiliser vos informations pour lancer des attaques plus ciblées sur vos contacts. Être votre contact de 1 er degré leur donne également plus de crédibilité en faisant paraître leur profil plus légitime.

Comment vous protéger contre le phishing sur les réseaux sociaux

Pour vous protéger de ces types d'attaques, ne cliquez pas sur les liens contenus dans les e-mails et les DM. Vérifiez la source. Même s'il semble que le message provient d'une personne de confiance, il est possible que son compte ait été compromis.

Appelez d'abord la personne pour vous assurer qu'elle est réelle, en particulier si le message contient des pièces jointes que vous êtes invité à télécharger.

Vérifiez toujours l'URL des sites Web que vous visitez. Les pirates génèrent des URL falsifiées en modifiant une ou plusieurs lettres de l'URL de sites Web connus. Ils peuvent également utiliser des lettres symboliques pour ressembler aux lettres originales. Survolez les liens pour examiner l'intégralité de l'URL, qui devrait apparaître au bas de votre navigateur.

N'oubliez pas que la correspondance officielle des réseaux sociaux et d'autres organisations ne proviendra jamais de quiconque utilisant des adresses e-mail avec des noms de domaine @gmail ou @yahoo.

D'autres signes révélateurs à surveiller sont les erreurs typographiques et grammaticales ou les messages qui vous poussent à agir. Ce dernier est conçu pour provoquer la peur ou la panique afin que vous n'ayez pas le temps de réfléchir.

Les réseaux sociaux mettent aussi en danger vos proches

Si vous vous exposez à des attaques de phishing sur les réseaux sociaux, vous risquez vos amis et vos proches, car les pirates peuvent utiliser votre compte comme passerelle pour y accéder également.

Heureusement, un peu de prudence et de bon sens contribuent grandement à vous protéger.