Certaines de nos adresses email sont évidemment directement associées à divers comptes sur les réseaux sociaux liés à Sophos ; d’autres sont des adresses professionnelles plus générales ; et enfin certaines autres sont des emails classiques de type grand public.
Ainsi, nous pensons vraiment que notre propre échantillonnage d’arnaques représente de manière assez fiable les activités que les escrocs préparent…
… et, comme vous l’avez probablement remarqué vous-même, même si nous voyons presque tout le temps apparaître les “vieux favoris”, nous voyons aussi souvent apparaître, en tête de nos listes de prévalence, des pics d’activité concernant des arnaques spécifiques.
À un moment donné, les arnaques par sextorsion occupaient la première place (ce genre de technique odieuse qui a été utilisée massivement en 2019 et 2020).
Ensuite, les arnaques à la livraison de colis à domicile se sont très nettement répandues pendant un certain temps ; puis nous avons eu une rafale d’arnaques ciblant Docusign.
Cependant, à l’heure actuelle, notre flux d’arnaques est saturé par diverses fraudes ciblant Instagram, Instagram et Instagram.
Arnaques Instagram de toutes sortes
Au cours des derniers jours, nous avons reçu de faux avertissements Instagram, avec la marque Instagram, dans chacune des catégories suivantes :
- Faux avertissement : violation des règles de la communauté. Solution proposée : contactez-nous pour trouver le contenu qui doit être supprimé afin de lever le blocage.
- Faux avertissement : violation du droit d’auteur. Solution proposée : contestez cette réclamation et annulez la requête à votre encontre en remplissant le formulaire.
- Faux avertissement : alerte de connexion suspecte. Solution proposée : si ce n’était pas vous, cliquez maintenant ici pour sécuriser votre compte.
Bien que la plupart des exemples que nous avons reçus soient des techniques de phishing à l’ancienne qui utilisent le nom d’utilisateur et le mot de passe, l’une d’entre elles a tout de même aussi exigé notre code 2FA.
Même si les codes 2FA ne sont généralement valides que pendant quelques minutes, il est clair que les cybercriminels ne se contentent plus de collecter des données de phishing pour les utiliser plus tard.
En effet, de nombreux cybergangs utilisent des techniques manuelles ou automatiques qui les alertent dès que les victimes visitent leurs sites de phishing, permettant ainsi aux escrocs de réagir en temps réel.
S’ils peuvent vous inciter à fournir un code 2FA ainsi que votre mot de passe, ils essaieront immédiatement de les utiliser, sachant que, s’ils sont assez rapides, ils réussiront probablement leur tentative avant que le code 2FA n’expire.
Bien qu’il ne s’agisse pas vraiment d’une nouvelle des plus excitantes ou inattendue, celle-ci nous rappelle, encore une fois, que ces arnaques continuent d’offrir de bons résultats aux cybercriminels, en leur donnant potentiellement un accès instantané à des comptes sur les réseaux sociaux, réputés et fiables, et ce en quelques instants.
Et bien que ces arnaques ne soient généralement pas trop difficiles à repérer…
… les escrocs s’améliorent toujours plus pour faire en sorte que vous passiez tout de même à côté.
Il est facile de rater les signaux d’alerte et de tomber dans le piège si vous êtes pressé, si vous êtes distrait par d’autres événements, ou bien si vous êtes une personne d’un naturel confiant et optimiste qui pense : “Oh, il y a sûrement eu une erreur. Cela va certainement prendre juste quelques minutes pour que ce problème soit réglé, grâce à ce formulaire bien pratique qui en plus à l’air officiel”.
Que devez-vous rechercher ?
Voici à quoi ressemblent les faux avertissements que nous avons reçus ; Si vous pensez que vous avez des amis ou des proches qui pourraient être trompés par ce type de message, partagez cet article avec eux afin qu’ils sachent qu’ils font partie des millions de personnes qui ont reçu ces mêmes messages frauduleux.
Il est souvent plus facile de convaincre des personnes proches si les conseils que vous donnez proviennent d’un tiers. En effet, souvent cela semble être moins “moralisateur” si un tiers, qu’ils ne connaissent pas, leur donne des conseils.
Et, parfois, les images valent 1000 mots, alors voici à quoi ressemblaient ces arnaques.
1. Exemple de fausse “alerte de connexion suspecte” :
2. Exemple de fausse “violation des règles de la communauté” :
3. Exemple de fausse “violation du droit d’auteur” :
Que se passe-t-il si vous cliquez dessus ?
Voici un exemple du type de page vers lequel vous serez dirigé si vous cliquez, il s’agit ici de la séquence “connexion suspecte” :
Et voici le faux “appel du droit d’auteur” : notez le nom du site Web dans ces images, où ce qui ressemble à un “i” majuscule est en fait un “l” minuscule :
Enfin, voici la fausse “violation de la communauté”, avec une page de phishing qui tente de récupérer votre code 2FA (ou l’un de vos codes de secours si vous n’avez pas votre téléphone à portée de main) pour permettre aux escrocs de pénétrer dans votre compte à distance, et en temps réel :
Quoi faire ?
- Ne cliquez pas sur les liens “utiles” dans les emails ou autres messages : renseignez-vous à l’avance sur la manière de gérer les réclamations ou les avertissements de sécurité d’Instagram, afin de connaître la procédure avant de devoir la suivre véritablement. Faites de même pour les autres réseaux sociaux et sites de diffusion de contenu que vous utilisez. Si vous connaissez déjà la bonne URL à utiliser, vous n’aurez jamais besoin de vous fier aux liens contenus dans les emails, que ces emails soient réels ou faux.
- Réfléchissez avant de cliquer : même si la probabilité que vous receviez les emails ci-dessus soit faible, nous espérons tout de même que vous ne tomberez pas dans le piège immédiatement (voir point 1), mais si toutefois vous deviez cliquer dessus par erreur, ne soyez pas pressé d’aller plus loin dans la démarche. Les sites frauduleux ci-dessus avaient des certificats HTTPS (cadenas) et des noms de serveur qui incluaient du texte tel que “lnstagram” (avec un ‘l’ minuscule, pas un ‘i’ majuscule !), mais ils n’étaient clairement pas hébergés sur le véritable site Instagram. Quelques secondes pour réfléchir et bien vérifier les détails du site ne seront jamais du temps perdu.
- Utilisez un gestionnaire de mots de passe si vous le pouvez : les gestionnaires de mots de passe empêchent que vous saisissiez le bon mot de passe sur le mauvais site, car ils ne peuvent pas proposer un mot de passe pour un site qu’ils n’ont jamais vu auparavant.
- Regardez notre vidéo ci-dessous pour obtenir des conseils supplémentaires : début 2021, nous avons présenté une conférence Facebook Live sur l’histoire et l’évolution de ce type d’arnaque. Si vous avez des amis qui utilisent les réseaux sociaux pour générer du chiffre d’affaires et qui pourraient craindre de voir leurs comptes ciblés, montrez-leur cette vidéo pour les protéger contre ce genre d’arnaque.
Billet inspiré de Instagram scammers as busy as ever: passwords and 2FA codes at risk, sur Sophos nakedsecurity.