Souvent convoité, mais rarement obtenu, le badge de certification d’Instagram, généralement attribué aux influenceurs et personnalités, a donné des idées malveillantes à un ou plusieurs hackers. En indiquant leurs identifiants sur un faux formulaire, des victimes ont fait l’objet d’une attaque de phishing en pensant décrocher le Graal à l’issue du processus.

Depuis quelques années déjà, les badges de certification ont fleuri sur les réseaux sociaux, Twitter et Instagram en tête. Cette vérification validée en interne représente avant tout un indicateur de crédibilité auprès des utilisateurs et de la communauté, faisant ainsi l’objet d’une certaine convoitise par les stars du Net et autres personnalités. Un désir malicieusement exploité par des hackers, comme nous l’apprend la firme de cybersécurité Sucuri.

Un ou plusieurs attaquants ont en effet mis en place une campagne de phishing au premier abord bien ficelée. L’idée est simple : comme le suppose Luke Leal, chercheur chez Sucuri, dans les colonnes de Threat Post, une soi-disant page de vérification apparaissait sur le fil d’actualité d’un utilisateur, lequel était en mesure d’obtenir le fameux badge. En cliquant sur « Apply Now », la cible est redirigée sur un site internet au nom de domaine pour le moins trompeur : instagramforbusiness.info.

Série d’anomalies

Sur ce dernier, lui est alors demandé d’indiquer son adresse email et le mot de passe de son compte sur un court formulaire. Puis de reconfirmer le tout dans la foulée. Et le tour est joué. Mais la victime était loin de se douter de la supercherie : elle n’obtiendra pas le précieux sésame. À la place, les informations personnelles communiquées étaient directement envoyées aux pirates via un courrier électronique. Un moyen pour eux d’accéder au compte piraté et de supprimer toutes les données, ou, au contraire, de les utiliser à d’autres fins.

Le processus de vérification en GIF. // Crédit GIF : Sucuri.

Au premier abord, le stratagème semble astucieux. Mais en s’y penchant de plus près, une série d’anomalies demeure et susciterait presque une pointe de perplexité quant à la mise en oeuvre de l’opération. Le nom de domaine, en premier lieu, n’est pas du tout affilié au site officiel d’Instagram. L’absence du protocole HTTPS, ne garantissant donc pas une totale sécurité, met aussi la puce à l’oreille.

Réseaux sociaux, une cible fructueuse

Enfin, l’interface de la page internet interpelle : elle ne ressemble en rien à un formulaire officiel. « Les attaques par hameçonnage à l’encontre des réseaux sociaux continuent d’augmenter pour plusieurs raisons, notamment pour leur grande base d’utilisateurs et des potentielles informations personnelles stockées sur les comptes en question (date de naissance, prénom, nom, localisation, numéro de téléphone, adresse email) », a déclaré Luke Leal.

Et de conclure : « Cette data peut être utilisée pour d’autres activités malveillantes ». Le fait est que la page de filoutage a depuis été signalée et supprimée, toujours selon Luke. Cet événement met surtout en exergue des techniques toujours plus alambiquées, imaginées puis mises en place sur des plateformes réunissant des millions d’utilisateurs. C’est d’ailleurs toute la force de l’attaque : élargir le spectre de potentielles victimes pour toucher, coûte que coûte, le plus grand nombre de personnes possibles.

Partager sur les réseaux sociaux