Des pirates ont utilisé Instagram comme une marketplace, en proposant à la location de ce qu’ils ont dit être un accès à Mirai et à d’autres botnets et la vente, à priori, de comptes pour Fortnite, Spotify et d’autres plateformes sociales.
Joseph Cox, de Motherboard, a échangé avec Root Senpai, l’un des vendeurs, sur Discord, un forum messagerie populaire utilisé par les joueurs.
Senpai a déclaré à Motherboard que les comptes Fortnite volés présentaient un intérêt particulier pour les clients. Cet intérêt n’est pas surprenant : en effet, à l’heure actuelle, le jeu pour mobile connait un engouement extrême !
En mars dernier, des fraudeurs ont exploité la détermination de certains joueurs pour obtenir, en avant-première, des invitations à découvrir la prochaine version de Fortnite à venir, refourguant leurs “invitations gratuites supplémentaires” fictives, tout en recherchant par la même occasion à gagner de l’argent, à récupérer des followers sur Twitter, des Like, des retweets et des commentaires.
En juin, les cybercriminels avaient commencé à semer sur internet de fausses applications Fortnite qui n’avaient jamais chargé le jeu, mais qui avaient plutôt dirigé les victimes vers le téléchargement d’autres applications que les fraudeurs avaient été payés pour diffuser.
Et puis, bien sûr, il y a les comptes Fortnite volés. Kotaku a annoncé en mars que les comptes détournés constituaient une “industrie en plein essor”, étant donné que dans ce jeu de survie, censé être le plus grand jeu de survie au monde, des millions de personnes luttent contre des zombies, et ceux qui parviennent à s’emparer des skins de personnages rares, attirent bien sûr l’attention des voleurs !
Depuis la sortie de Battle Royale pour Android en septembre 2017, des dizaines d’entre eux se sont tournés vers Reddit, les forums d’Epic Games et Twitter pour se plaindre de mystérieux frais sur leurs comptes à hauteur de 99,99$ (environ 85€) et de 149,99$ (environ 130€). Les hackers de compte ont utilisé les comptes des victimes pour payer les mises à niveau de jeu qu’elles transféraient ensuite à d’autres comptes.
Comme le dit Kotaku, les vendeurs ont exploité des combinaisons connues d’adresses email et de mots de passe, en provenance soit de la faille MySpace ayant concerné 400 millions d’utilisateurs, soit de celle ayant touché 164 000 utilisateurs de LinkedIn, puis les ont chargées dans un logiciel qui les a automatiquement saisies dans le client d’Epic Games jusqu’à ce qu’il tombe sur un compte valide.
Outre les comptes Fortnite piratés, les hackers ont utilisé Instagram pour faciliter l’accès aux botnets.
Motherboard a repéré une publication qui prétendait vendre l’accès à un botnet basé sur Mirai. Le malware Mirai a piégé plus de 300 000 objets connectés (IoT). Ce dernier et ses variantes ont été utilisés pour lancer un nombre incalculable d’attaques par déni de service (DDoS).
D’autres Instagrammers ont vendu l’accès à d’autres botnets : Motherboard a repéré un message qui annonçait la possibilité d’un botnet-as-a-service et dont le prix de vente se situait entre 5 et 80 dollars par mois (environ 4.5€ à 70€/mois).
Certaines des annonces de botnet-as-a-service sont apparues dans des publications Instagram classiques, tandis que d’autres ont été diffusées via la fonctionnalité Stories du réseau.
Rien de tout cela n’est légal, bien sûr. Les conditions d’utilisation d’Instagram interdisent de faire “tout ce qui est illégal, trompeur, frauduleux ou à des fins illégales ou non autorisées”.
Un porte-parole d’Instagram a confié à Motherboard qu’une activité qualifiée d’interdite incluait la vente d’accès à des ordinateurs ou à des comptes piratés. Instagram enquête sur ce problème et déclare qu’il va supprimer tout contenu qui a enfreint ses conditions d’utilisation.
Comment empêcher les zombies de s’en prendre à votre compte !
Ne réutilisez pas les mots de passe. Il est incroyablement rapide et facile pour des hackers de trouver des copies de mots de passe à partir de violations de données, puis de les utiliser via une technique dite de “stuffing” pour essayer de déverrouiller votre compte Fortnite …, votre compte bancaire, votre compte Netflix, votre compte Facebook ou tout autre compte utilisateur. Vous ne pouvez pas empêcher les violations de se produire, mais vous pouvez limiter une éventuelle propagation à tous vos autres comptes, en utilisant un mot de passe unique et fort pour chaque service en ligne que vous utilisez. Car oui, utiliser un mot de passe deux fois est vraiment une mauvaise idée !
Protégez votre login comme l’ensemble de votre vie digitale. Epic Games ne vous demandera pas votre mot de passe par email ou par téléphone. Si une personne vous le demandait, vos poils devraient se dressés immédiatement. Les pirates vont vous proposer des “offres spéciales” émanant de services tiers, et concernant toutes sortes de cadeaux, que ce soit des V-Bucks gratuits ou du butin de jeu. Faites demi-tour sans tarder : vous êtes bien plus susceptible de voir apparaître des frais frauduleux au niveau de votre compte que d’avoir accès véritablement à ces délicieux cadeaux !
Inscrivez-vous pour vous connecter via l’authentification à deux facteurs (2FA). Epic le propose ici. Notez que vous pouvez également opter pour des applications d’authentification, telles que Google Authenticator, LastPass, Microsoft Authenticator ou Authy. Sophos peut également vous aider : pensez à télécharger Sophos Authenticator, qui est également inclus dans la version gratuite de Sophos Mobile Security pour Android et iOS.
Billet inspiré de Hacked Fortnite accounts and rent-a-botnet being pushed on Instagram, sur Sophos nakedsecurity.