Phishing Instagram : attention à cette arnaque qui contourne l'authentification à double facteur
Utilisateurs d'Instagram, faites attention ! Une arnaque sévit sur le réseau social et dérobe vos identifiants et votre code de sauvegarde par le biais d'une tentative de phishing. Un moyen de contourner l'authentification à double facteur...
Les réseaux sociaux sont des cibles de choix pour les cybercriminels. En effet, un compte subtilisé est très utile aux pirates, qui peuvent s'en servir pour diffuser massivement des arnaques – il n'y a a priori aucune raison de se méfier d'un lien envoyé par un ami ou d'un concours lancé par son influenceur préféré – ou d'avoir accès à de précieuses données personnelles, qui peuvent être à leur tour être vendues sur le Dark Web. La méthode d'identification simple – l'identifiant plus le mot de passe – représente une barrière assez facile à contourner. C'est pour ça qu'il est recommandé d'activer l'authentification à double facteur (2FA), qui ajoute une protection supplémentaire. Cette seconde étape peut être l'envoi d'un SMS ou l'utilisation d'une clé USB de sécurité ou d'un code généré par une application tierce. D'ailleurs, si vous ne l'avez pas déjà fait, activez-la immédiatement ! Ainsi, même si quelqu'un obtient le mot de passe de votre compte, il ne pourra pas y accéder sans avoir accès à votre téléphone ou à votre application d'authentification. Mais les pirates ont trouvé un moyen d'outrepasser cette mesure de sécurité supplémentaire pour les comptes Instagram.
Arnaque Instagram : obtenir le code de sauvegarde du compte
Comme le rapporte Bleeping Computeur, les cybercriminels ont lancé une campagne visant à inciter les utilisateurs à donner les identifiants et les codes de sauvegarde de leurs comptes Instagram. Pour rappel, il s'agit d'un code à huit chiffres donné au moment de la configuration de l'authentification à deux facteurs, qui peut être utilisé pour récupérer l'accès au compte si vous ne pouvez pas vérifier votre compte à l'aide de 2FA (changement de numéro de téléphone, perte du smartphone, etc. Or, si une personne malveillante parvient à s'emparer de ce code, elle est capable de s'emparer du compte Instagram en utilisant un appareil non reconnu simplement en connaissant les informations d'identification de la cible.
Les victimes reçoivent un e-mail provenant soi-disant de Meta, la maison mère du réseau social, rapportant des plaintes pour violation de droits d'auteur à leur encontre. Comme pour chaque message de phishing, le message contient un lien sur lequel elles sont incitées à cliquer afin de faire appel de la décision, mais il les redirige vers une page imitant le portail des violations de Meta. Par la suite, une deuxième page de phishing ressemblant au portail "Appeal Center" ("Faire appel d'une suspension" en français) de Meta se charge de recueillir l'identifiant et le mot de passe de la victime, avant de lui demander de confirmer si son compte est protégé par l'authentification à double facteur. Une fois la chose confirmée, la cible finit par fournir le fameux code de sauvegarde.
On retrouve tous les codes habituels du phishing : usurpation d'identité, sentiment d'urgent, URL douteuse. Du classique, mais toujours efficace auprès des personnes peu méfiantes. Aussi, méfiez-vous des mails inattendus et ne cliquez pas sur les liens suspects. Prenez votre temps pour analyser les petits détails, à commencer par l'adresse mail de l'expéditeur et l'URL du lien sur lequel on cherche à vous faire cliquer. Enfin, rendez-vous directement sur le site officiel, sans passer par le lien.