Voila une étude qui évoque bien les dangers liés aux réseaux sociaux. Egedian en partenariat avec Bitdefender explique les implications des cybercriminels dans les arnaques sur les réseaux sociaux populaires.
Si vous êtes sur Linkedin, vous avez certainement déjà reçu des demandes de contact un peu curieuses. Par exemple, de la part de très jolies jeunes femmes ou de présidents des entreprises du CAC 40. En général, une recherche rapide sur Google Images permet d’identifier la provenance de la photo du contact, et de voir qu’il s’agit en réalité d’une star du cinéma chinois. Rien à voir avec la jeune et jolie Senior Recrutement Partner d’un cabinet prestigieux, qui veut absolument rejoindre votre réseau professionnel sur Linkedin. On observe des cas similaires sur les autres réseaux sociaux, professionnels ou non, comme Facebook ou Viadeo.
Mais pourquoi donc les réseaux sociaux regorgent de faux profils à ce point ? Que peuvent réellement gagner les spammeurs en arrosant les réseaux avec des fausses demandes de contact ?
Un espace de discussion public peu modéré
La diffusion des spams sur les réseaux sociaux est une vraie mine d’or. Face aux solutions antispam de plus en plus efficaces, les messageries mail personnelles et professionnelles sont de mieux en mieux protégées. Les courriers électroniques qualifiés de spams sont détectés le plus souvent en amont, au niveau du serveur de messagerie, et bloqués avant d’arriver dans la boite mail de la cible.
Cela oblige les spammeurs à chercher d’autres moyens pour toucher un vaste public. Ils attaquent donc, de plus en plus, les réseaux sociaux, où ils ont plus de chances de passer inaperçus. En 2013, The Guardian a affirmé que le business du spam rapporte au moins 160 millions d’euros par an sur Facebook.
La création de faux comptes, comme par exemple sur la plateforme gratuite et très populaire Twitter, est très simple et rapide. En moins d’une minute, on peut commencer à tweeter publiquement. Pour les spammeurs, le problème suivant est de toucher l’audience, et là, tous les moyens sont bons. Surfer sur des hashtags populaires, répondre aux célébrités, hacker les comptes avec beaucoup de followers, etc.
Les chercheurs Carlo De Micheli et Andrea Stroppa ont observé que les réseaux sociaux Facebook et YouTube étaient les plus infectés. La plateforme Facebook enregistre le plus grand nombre de posts correspondant à la définition du hameçonnage, comportant des liens raccourcis (et donc impossible à évaluer immédiatement) ou maquillés en URL inoffensives, redirigeant vers des sites publicitaires ou simplement infectés. Les utilisateurs trompés ainsi se retrouvent souvent sur des faux sites marchands qui proposent des produits populaires à prix cassés (en réalité, ils cherchent juste à récupérer les données des cartes bancaires, aucun achat ne sera jamais livré).
Le Pay Per Post
Les spammeurs exploitent allègrement les imageries populaires et les titres racoleurs. Des images de bébés animaux, des appels au « Like » pour des œuvres caritatives, les secrets exclusifs d’une star mondiale dévoilés – et à chaque fois, l’utilisateur est appelé à liker, partager et/ou commenter. Si le post obtient suffisamment d’interactions, il sera diffusé dans un plus grand nombre de fils d’actualité, répondant ainsi à l’objectif de viralité initial. Et lorsqu’un profil ou une page sont suffisamment populaires, ils sont vendus.
Lors de son interview avec The Guardian, Carlo De Micheli explique qu’un nouveau métrique a vu le jour : le Pay Per Post. Ainsi, pour une page Facebook avec 30 000 fans, les posts se monnayent environ 10 euros, et les prix peuvent monter jusqu’à 40 euros par post pour les pages avec plus de 100 000 fans.
Pour contrebalancer les effets du spam et protéger ses utilisateurs, Facebook a commencé à poursuivre en justice les spammeurs postant de faux liens. Depuis 2013, un spammeur qui postait des liens vers la soi-disant sextape de Justin Bieber a été attaqué par l’entreprise américaine. Lors du clic sur le lien contenu dans le post, ce dernier était automatiquement recommandé par la victime à tout son cercle d’amis – c’est ce qu’on appelle leclickjacking. Comme la vidéo promise n’existait pas, la personne était envoyée sur des sites contenant de la pub – lesquels rémunéraient le spammeur pour le trafic ainsi généré.
Le jugement est toujours en cours.
Pourquoi vos données sont en danger
En acceptant une fausse demande de contact sur LinkedIn ou en likant une page Facebook utilisée par les spammeurs, l’utilisateur donne accès à ses informations personnelles renseignées : adresse, établissement scolaire fréquenté, noms et prénoms de ses parents, enfants et animaux de compagnie, la liste de ses amis ou contacts. Ces informations peuvent sembler inoffensives au premier abord, mais constituent en réalité une véritable mine d’or pour les hackers. En combinant les informations, ces derniers les utilisent ensuite pour accéder à des pages Web personnelles, aux comptes bancaires ou aux services en ligne payants. Toutes ces informations donnent de très bonnes indications sur les identifiants de connexion (mots de passe et noms d’utilisateur), ainsi que sur les réponses aux questions secrètes de sécurité.
En ce qui concerne les fausses demandes de contact sur Linkedin, il s’agit d’une des méthodes préférées des spammeurs, visant à recueillir des adresses e-mail professionnelles, pour des cyber-attaques ciblées sur l’entreprise.
En somme, si vous souhaitez que votre boîte mail reste saine et garder la main sur vos données personnelles et professionnelles :
- évitez de cliquer sur des liens suspects que vous voyez apparaître dans vos fils d’actualité : ils sont simples à reconnaître, les titres sont souvent racoleurs à outrance – ce qu’on appelle le « clickbait » : « vous ne devinerez jamais ce que… », « ce chien est un héros, découvrez pourquoi… », « ce qu’elle a fait est horrible !« , etc.
- n’acceptez pas les demandes de contact de personnes que vous ne connaissez pas sur Facebook ou Linkedin, et vérifiez bien que le compte Twitter auquel vous vous abonnez est un compte sain,
- enfin, maintenez votre protection antispam à jour.
Protéger son entreprise contre les dangers de l’ingénierie sociale
Les services Web destinés aux particuliers, comme les plateformes blogs, les réseaux Twitter, Facebook ou LinkedIn, font désormais partie intégrante des outils de communication de l’entreprise sur Internet. Beaucoup de sociétés permettent aux employés de surfer librement, y compris sur les réseaux sociaux, lesquels se situent à la frontière du personnel et du professionnel. Un utilisateur non sensibilisé et peu au fait des dernières tendances de phishing, facilitera la propagation de logiciels malveillants et les pertes de données sur le réseau informatique de son entreprise.
Aujourd’hui, le rôle d’un service informatique est d‘encadrer l’utilisation des réseaux sociaux en entreprise, ainsi que de former et de sensibiliser régulièrement les employés sur les dangers présents sur ces médias.
Toutes les entreprises consacrent des budgets de plus en plus importants aux achats et maintenance de solutions de protection contre les attaques informatiques, mais très peu prennent en compte le facteur humain. Définir une politique de sécurité claire et sensibiliser le personnel à l’ingénierie sociale est une étape importante dans la prévention des attaques ciblées.
Article original : Egedian
Les commentaires sont fermés.