Instagram: Comment les hackers s’y prennent-ils

Avoir un mot de passe Instagram sécurisé est indispensable, mais les cybercriminels peuvent utiliser diverses méthodes pour accéder à votre compte. Ce qui amène à la question suivante : comment les comptes Instagram se font-ils pirater de toute façon ?
Christophe Mazzola

Pour vous aider, nous détaillons ci-dessous 6 tactiques utilisées par les pirates pour extraire des informations personnelles et contourner l’authentification à 2 facteurs.

 

  1. Faux messages de violation des droits d’auteur

La tactique

Instagram indique clairement que vous ne pouvez partager que du contenu original qui ne viole pas les lois sur la violation des droits d’auteur. Cela dit, il est possible que vous commettiez une violation du droit d’auteur sans le vouloir, auquel cas Instagram prendrait des mesures et vous contacterait pour corriger le problème.

C’est pourquoi de nombreux cybercriminels se font passer pour des représentants d’Instagram en prétendant s’occuper des problèmes de violation des droits d’auteur. Dans ces cas-là, un pirate envoie un lien à votre courriel ou par le biais d’un message privé sur Instagram et vous demande de vous connecter afin de régler le problème.

Le lien mène à une fausse page qui, même si elle imite la page de connexion d’Instagram, est en fait conçue pour recueillir les détails de votre nom d’utilisateur et de votre mot de passe. La seule différence entre la vraie page et la fausse est une petite variation dans l’URL, qui est difficile à détecter.

Pour ne pas éveiller les soupçons, les cybercriminels vous redirigent généralement vers l’une des pages légitimes de la FAQ d’Instagram qui aborde le sujet de la violation des droits d’auteur.

 

  1. Offres trompeuses de badges vérifiés

La tactique

Vous êtes probablement familier avec les badges vérifiés, les épingles bleues en haut des profils Instagram qui ont été authentifiés par le réseau social. Bien que précieuse, cette fonctionnalité de compte est également au centre d’une autre ingénierie sociale que les pirates utilisent pour s’introduire sur Instagram.

Dans ce scénario, les pirates envoient un message privé ou un e-mail qui offre une chance d’ajouter un badge vérifié, avec un lien vers un site Web trompeur qui recueille vos informations de connexion. Ils peuvent vous demander de ne pas modifier vos données de profil, comme le nom d’utilisateur ou le mot de passe, jusqu’à ce que le changement soit effectif, afin de gagner suffisamment de temps pour s’introduire dans votre compte.

 

  1. Alertes d’activités suspectes illégitimes

La tactique

Les pirates qui emploient des attaques d’ingénierie sociale exploitent toutes les informations dont ils disposent. Par exemple, ils conçoivent parfois des alertes d’activité suspecte qui ressemblent à une notification légitime d’Instagram, mais qui contiennent en réalité des liens malveillants.

Selon la plateforme sociale appartenant à Meta, les courriels d’Instagram proviennent uniquement des adresses « @mail.instagram.com » ou « @facebookmail.com ». Voici un exemple de ce à quoi ressemble un courriel de sécurité légitime provenant d’Instagram :

 

  1. Cadeaux et parrainages de marques frauduleux

La tactique

Les cadeaux publicitaires frauduleux sont particulièrement gênants car ils existent dans un écosystème qui regorge de cadeaux promotionnels légitimes. Cette forme d’ingénierie sociale peut prendre deux formes différentes.

Dans sa version la plus traditionnelle, ce type de piratage fonctionne comme une attaque par faux badge vérifié. La différence est que le pirate se fait passer pour une grande marque, une start-up passionnante ou une entreprise de renom similaire qui offre un gros cadeau à des influenceurs spécifiques sur les médias sociaux.

Certains escrocs possèdent même des comptes d’apparence légitime, actifs depuis un certain temps et comptant des milliers de followers. Le premier message comprend généralement au moins un lien usurpé menant à une fausse connexion Instagram, conçue pour extraire le nom d’utilisateur et le mot de passe soumis.

Une forme plus complexe de cadeaux et de parrainages frauduleux peut se produire lorsque les pirates ont recueilli des informations sur vous, mais ont encore besoin de quelques détails supplémentaires pour réussir à violer votre compte. Au lieu de vous envoyer un lien vers une page de connexion usurpée, les pirates peuvent vous demander de remplir un questionnaire dans lequel ils vous demandent des informations personnelles, comme votre date de naissance, le nom de jeune fille de votre mère et d’autres réponses à des questions de sécurité courantes.

 

  1. Outils de médias sociaux contrefaits

La tactique

La gestion d’un profil de médias sociaux peut prendre énormément de temps, surtout si vous avez un grand nombre d’adeptes. Il existe de nombreux outils qui peuvent simplifier le processus, mais vous devez également évaluer chaque plateforme pour vous assurer qu’elle provient d’un développeur légitime.

Tout comme pour les extensions web malveillantes, les pirates peuvent créer des outils contrefaits censés améliorer les fonctionnalités, mais qui constituent en réalité une menace pour la sécurité.

Ces outils semblent généralement légitimes, mais ne vous apportent que très peu en termes de fonctionnalité et de valeur pratique. Ce type de stratagème n’est pas aussi courant car il nécessite une quantité importante de ressources, mais il est toujours utilisé par les cybercriminels à la recherche de cibles plus importantes et plus précieuses.

Lorsque ce type d’attaque réussit, les utilisateurs cibles intègrent l’outil contrefait dans leurs comptes de médias sociaux. Ce faux outil peut être utilisé pour mettre en place des attaques de type man-in-the-middle, intercepter toutes les données et extraire les détails de connexion, entre autres données.

 

  1. Attaques par proxy inverse

La tactique

Toutes les techniques de piratage par ingénierie sociale que nous avons abordées jusqu’à présent exigent des pirates qu’ils créent manuellement de fausses applications et pages Web afin de recueillir des informations auprès de leurs cibles. Avec les attaques par proxy inverse, les pirates n’ont pas besoin de créer un faux site Web ou une fausse application, mais ils peuvent automatiser le vol d’informations d’identification.

Une attaque par proxy inverse est une approche de type « man-in-the-middle » : les pirates dirigent leurs victimes vers un domaine qui se trouve entre l’utilisateur et le site web légitime. L’URL sera très similaire à la page légitime, et l’apparence générale dans le domaine malveillant reflète la page légitime.

Appliqué au contexte d’Instagram, vous pourriez recevoir un courriel convaincant d’un pirate qui vous dirige vers la page de connexion d’Instagram. Ce dont vous ne vous rendez pas compte, c’est qu’on vous a envoyé à cette page via un serveur proxy. Ainsi, lorsque vous saisissez vos informations d’identification et que vous vous connectez à Instagram, vos informations – y compris 2FA – sont interceptées en temps réel.

Que font les pirates après avoir piraté votre compte ?

Maintenant que nous avons répondu à la question « comment les pirates informatiques volent-ils des comptes Instagram ?« , passons en revue les raisons pour lesquelles ces criminels peuvent vouloir cibler votre profil.

Comme d’autres types de criminels, les pirates et autres acteurs malveillants affluent sur les plateformes les plus populaires car elles présentent les plus grandes opportunités financières. Aujourd’hui, il est possible de générer des revenus importants à partir d’un grand nombre d’adeptes et les pirates sont impatients d’en profiter.

Voici quelques-unes des actions courantes qu’un pirate peut entreprendre une fois que votre compte a été piraté :

  • Demander une rançon;
  • Escroquer vos amis, les membres de votre famille et vos clients. Les arnaques aux investissements, aux bitcoins et aux romances sont parmi les plus courantes;
  • Vendre votre compte sur le dark web;
  • Utiliser votre compte pour mener une opération frauduleuse;