Dans ce qui s’apparente au plus gros détournement de l’histoire du réseau social, de nombreux comptes utilisateurs de Twitter, notamment de personnalités et grandes entreprises, ont été détournés à des fins d’escroquerie, entrainant le vol de plus de 100 000 euros en bitcoins.
Pour Kaspersky, cette escroquerie majeure souligne le fait que nous vivons à une époque où même les personnes ayant des compétences informatiques peuvent être attirées dans le piège des escrocs, et où même les comptes supposés les plus sécurisés peuvent être détournés.
Selon les estimations du leader mondial en cyber sécurité, en deux heures seulement, au moins 367 utilisateurs ont transféré environ 120 000 dollars au total aux escrocs.
« Cependant, aucun site web ou logiciel n'est invulnérable, et l’humain n'est jamais à l'abri d’erreurs. Par conséquent, toute plateforme peut être compromise. Il peut s'agir d'un mélange d'attaques de la chaîne d'approvisionnement et d'ingénierie sociale. Cependant, les auteurs de l’attaque peuvent également accéder au compte de la victime par d'autres moyens : par exemple, ils peuvent pénétrer dans une application tierce ayant accès au profil de l'utilisateur, ou le mot de passe de l'utilisateur peut être obtenu par la force » a déclaré Dmitry Bestuzhev, expert en cybersécurité chez Kaspersky.
Comment reconnaître l'arnaque sur les réseaux sociaux ?
- Un des éléments les plus symptomatiques des tentatives d’escroquerie est le caractère d’urgence. Non seulement il dissuade la victime de procéder à un contrôle approfondi du contexte, mais il ajoute une certaine pression psychologique sur l'utilisateur, qui l’encourage à négliger plus facilement certains détails. Poussées par la peur de rater une grande occasion, même les personnes les plus prudentes peuvent être séduites par le risque, et tomber dans le piège des agresseurs.
- Dans ce cas, l'escroquerie a également été soigneusement adaptée à la personnalité du propriétaire ou au ton de voix du compte détourné, ce qui lui a donné une apparence de légitimité. Les criminels peuvent même aller plus loin et illustrer l'escroquerie avec une charte graphique d'apparence authentique, ou utiliser des contrefaçons.
Il faut toujours garder à l'esprit que les campagnes officielles, ou même les initiatives individuelles d'une telle ampleur, sont toujours accompagnées de documents prescriptifs pour soutenir l'offre promotionnelle (même la plus brève), placés en dehors des médias sociaux. De plus, le contexte financier est généralement plus transparent et n'est pas lié à des portefeuilles privés de bitcoins.
- Il est fort peu probable qu'une entreprise officielle ou un particulier établi vous demande de transférer de l'argent, voire de le lui rendre plus tard, même à titre de plaisanterie, en raison d'éventuels conséquences liées aux impôts et aux rapports financiers.
Comment sécuriser l’accès aux comptes sur les réseaux sociaux ?
- S'il est absolument essentiel d'avoir un mot de passe solide, il doit également être unique au compte protégé. Si un autre de vos comptes est compromis, il n’y a alors pas de conséquence pour tous vos comptes. Pour créer un mot de passe sûr et robuste pour chaque site web, utilisez des techniques de mémorisation ou un gestionnaire de mots de passe.
- Utilisez une authentification à deux facteurs lorsque c’est proposé (le login et le mot de passe doivent alors être complétés par un autre élément). Idéalement, utilisez alors une application qui génère des codes temporaires (OTP) plutôt que des codes reçus par SMS. Une autre solution consiste à utiliser un élément physique, tel un jeton de sécurité connecté en USB, ou via NFC.
- Une autre mesure de sécurité qui doit être prise est l’examen approfondi et régulier des applications qui ont accès aux comptes de réseaux sociaux. Elles se trouvent dans les paramètres du compte. Nous vous recommandons de révoquer l'accès de toutes les applications inutilisées, inconnues ou dont le niveau de sécurité n’est pas considéré suffisant, de sorte qu'en cas d’attaque de ces dernières, votre compte ne puisse pas être atteint.
- Les comptes de réseaux sociaux de personnalités ou entreprises peuvent être utilisés ou maintenus par plusieurs individus. De tels comptes doivent alors être régulièrement l’objet d’une revue, et les accès inutiles ou obsolètes doivent être révoqués : les mots de passe d’accès aux comptes doivent notamment être renouvelés en cas de départ ou de changement dans l’équipe animant les réseaux sociaux.
- Utilisez le "Privacy Checker" pour vous aider à rendre vos profils de médias sociaux plus privés. Il sera plus difficile pour les tiers de trouver des informations très personnelles.