La croissance de la tentative de phishing sur les réseaux sociaux est directement liée à la montée en puissance des entreprises qui les gèrent, qu’il s’agisse de Facebook, d’Instagram ou encore de LinkedIn. En effet, toutes ont considérablement élargi leurs activités en proposant de nouvelles fonctionnalités et en s’intégrant à des applications tierces. Ainsi, pour un hacker, les réseaux sociaux renferment non seulement de nombreuses victimes potentielles, mais également une kyrielle de points d’accès.
Lien entre ingénierie sociale et réseaux sociaux
L’ingénierie sociale consiste à manipuler une personne pour l’inciter à divulguer des données confidentielles. Pour être efficace, cette stratégie impose à son auteur de recueillir des informations personnelles sur ses victimes. Et quoi de mieux que les médias sociaux pour y parvenir ?
4,2 milliards de personnes sont actives sur les médias sociaux. Nous continuons à nous exposer à la tentative de phishing sur ces plateformes en persistant à ignorer les multiples avertissements qui nous invitent à sécuriser nos comptes à l’aide de mots de passe forts et à éviter de dévoiler des informations trop intimes. Nous n’hésitons ainsi pas à dévoiler où nous nous trouvons, pour qui nous votons, les difficultés financières et de santé que nous rencontrons, les hauts et les bas de notre carrière... Or, ces informations sont en réalité exactement ce dont ont besoin les cybercriminels pour taper dans le mille.
Tentative de phishing sur Facebook
Personne ne sera surpris d’apprendre que le réseau social le plus fréquenté et le plus influent de la planète est aussi le plus ciblé par les hackers. En 2021, le nombre d’URL de phishing visant Facebook a ainsi augmenté de plus de 71 % sur 1 an, faisant de Facebook la marque la plus touchée par des attaques de ce type.
Pour bien comprendre ce pic d’activité, nous devons étudier comment Facebook est devenu le géant qu’il est aujourd’hui. En 2007, Facebook ne comptait que 20 millions d’utilisateurs. Après l’ouverture de sa plateforme aux développeurs tiers, le réseau a engrangé en moyenne 200 millions de nouveaux utilisateurs chaque année.
Or, les applications que ces développeurs intégraient au réseau stockaient des quantités faramineuses de données sur leurs utilisateurs, données qui ont fini par arriver sur le marché noir. En 2021, les données personnelles de 1,5 milliard d’utilisateurs de Facebook ont ainsi été découvertes sur le Dark Web. Prix du package pour 1 million d’utilisateurs ? 5 000 $. Armés de ces données, les cybercriminels avaient toute latitude pour lancer diverses attaques contre leurs victimes.
Les révélations concernant les fuites de données issues de Facebook se sont multipliées. Par conséquent, les utilisateurs du réseau sont désormais habitués à recevoir des communications relatives à ses initiatives en faveur du respect de la vie privée. Dans certains cas, ces emails ne proviennent toutefois pas de Facebook, mais de hackers. À l’affût en raison du flux constant d’actualités négatives, les utilisateurs s’exécutent donc rapidement lorsque les hackers les invitent à mettre à jour leur mot de passe Facebook, divulguant sans le savoir les données qu’ils pensaient protéger.
Dans d’autres cas, les hackers exploitent directement les applications tierces pour dérober les données. C’est notamment le cas de l’API de connexion universelle de Facebook, qui permet aux utilisateurs de se connecter à des dizaines de milliers d’applications directement depuis le réseau. Les hackers tirent parti de cette fonctionnalité en créant des pages de phishing pensées pour ressembler comme deux gouttes d’eau à des pages Facebook Login. L’utilisateur pense ainsi se connecter à une application populaire, alors qu’en réalité il envoie ses informations d’identification au hacker.
Phishing sur WhatsApp
La tentative de phishing sur WhatsApp monte en puissance régulièrement depuis le T4 2020. Au T1 2021, il avait augmenté de 441 %, faisant de WhatsApp la troisième marque la plus touchée par les attaques de phishing au cours du trimestre. Sur l’année, la marque se classe en 4e position et représente 9 % des pages de phishing analysées par Vade. Les failles de sécurité de WhatsApp sont peut-être la cause de cette augmentation. Une attaque du spyware Pegasus visant des journalistes et activistes des droits de l’homme a ainsi touché 1 400 personnes en 2019.
Phishing sur Instagram
Instagram, 21e marque la plus touchée par le phishing en 2021, est désormais un géant de la publicité et un véritable tremplin vers la gloire pour les célébrités d’Internet. Le phishing et le spear phishing visant la plateforme ont ainsi explosé au cours des dernières années, alors qu’elle a atteint 1 milliard d’utilisateurs.
Ces attaques sont variées et peuvent aller des demandes de mise à jour du mot de passe envoyées sous forme d’email de phishing aux attaques en plusieurs étapes commençant par du phishing et se terminant par du spear phishing au sein même du réseau... Au cours de ces attaques, le hacker récolte les informations d’identification de l’utilisateur sur une fausse page de connexion, puis lance des attaques de phishing et spear phishing contre les abonnés du compte compromis. Dans d’autres cas, le hacker peut s’emparer du compte à l’aide d’une attaque de phishing, puis exiger une rançon contre la promesse de ne pas diffuser des informations et images compromettantes.
.jpg?width=1920&height=1280&name=How-Teleworking-Is-Fueling-Social-Engineering%20(1).jpg)
Au cours d’une campagne de phishing à l’efficacité redoutable, un hacker s’est attaqué à ses victimes en exploitant l’une des faiblesses les plus profondes des jeunes et des adultes du monde entier : le besoin de reconnaissance. Le badge Vérifié d’Instagram est plus qu’une petite coche sur fond bleu ; il confirme qu’un utilisateur est une célébrité, un influenceur ou une marque. Les hackers se faisant passer pour Instagram envoient des emails de phishing à leurs victimes en leur demandant de se connecter sur le réseau pour activer leur badge Vérifié. Ils subtilisent alors leurs identifiants via une page frauduleuse.
Tout le monde ne court pas après cette petite coche, mais ce badge inspire confiance, et ce sur tous les réseaux sociaux. Plus qu’un symbole d’influence, il s’agit d’un symbole de confiance qu’un hacker peut utiliser pour manipuler ses victimes.
Phishing sur LinkedIn
Les recruteurs sont en permanence à la recherche de nouveaux candidats, et il n’est donc pas surprenant qu’ils contactent les utilisateurs de LinkedIn via des InMail. Les hackers se font passer pour ces recruteurs et demandent aux personnes en recherche d’emploi de leur communiquer des informations sur une page de phishing, de payer une formation et/ou le service de recrutement, ou même de télécharger un formulaire de candidature ou une description du poste. Bien souvent, ces documents prennent la forme d’un fichier PDF ou d’un fichier Word avec macros qui lancent le malware. Dans d’autres cas, le lien mène vers un site Web qui télécharge le malware.
Une stratégie se retrouve très souvent sur LinkedIn : la fausse demande d’entrée en relation. Les hackers créent des emails LinkedIn frauduleux demandant à l’utilisateur d’accepter la demande d’entrée en relation. Lorsque leur victime se connecte sur LinkedIn pour s’exécuter, ses informations d’identification sont volées. En se faisant passer pour un autre utilisateur et parfois pour un influenceur, le hacker peut entrer en relation avec d’autres personnes via InMail et lancer des attaques de phishing ou de spear phishing.
Se protéger du phishing qui sévit sur les réseaux sociaux
La tentative de phishing sur les réseaux sociaux vise plus souvent les particuliers que les entreprises, mais les dépenses publicitaires de ces dernières sur ces plateformes, qui ont culminé à 154 milliards de dollars entre 2021 et 2022, les exposent à un regain d’intérêt. Les victimes qui ne sont pas formées à reconnaître le phishing réagissent de manière émotionnelle, sans prendre de recul, et cliquent sur le lien sans remarquer la supercherie.
Une sécurité de l'email solide dotée d’une technologie anti-phishing au moment du clic est essentielle pour protéger votre entreprise et vos clients des tentatives d’ingénierie sociale et de phishing. Par ailleurs, ne sous-estimez pas l’importance d’une sensibilisation au phishing. Les attaques de phishing sont très élaborées, et il est possible que certaines passent entre les mailles du filet. Les utilisateurs sensibilisés courent moins de risque de tomber dans le panneau et ceux qui sont alertés immédiatement au moment du clic sont bien moins susceptibles de commettre la même erreur deux fois.
