La technologie

Le business juteux du piratage de compte Instagram

Les cybercriminels savent ce que valent vos abonnés Instagram. Ils se sont même professionnalisés dans l’art répréhensible de prendre le contrôle d’un compte et d’extorquer une rançon pour le rendre. «J’ai reçu un message privé sur mon compte de la part d’un profil avec un acronyme Instagram m’offrant la certification de ma boutique de décoration», explique Stéphanie (le nom a été changé, ndlr) qui a vécu cette expérience traumatisante juste après Noël.

Ce prétendu employé du réseau social l’invite alors à communiquer ses identifiants – adresse mail et numéro de téléphone utilisés pour le compte – sur un site internet destiné à aspirer des données. Une technique de phishing qui sévit depuis trois ans mais qui a pris une autre tournure.

Quelques instants plus tard, la conversation avec “Jackson du service de vérification d’Instagram” passe à WhatsApp. En possession des informations d’identification, le cybercriminel a demandé un changement de mot de passe et a besoin du code à 6 chiffres nécessaire pour réussir l’authentification à deux facteurs, le dispositif de sécurité qui devrait empêcher le piratage. Le jeune entrepreneur n’hésite pas à le donner.

Le hacker prend alors le contrôle du compte de 30 000 abonnés et le défigure. Puis vient la menace: “Je vous rendrai la facture de 800 euros”.

Scénario similaire pour le compte du château de Giverny, violé à la mi-janvier. Après avoir usurpé l’identité d’Instagram et volé les identifiants, le pirate informatique attaque. «Il nous a demandé combien nous étions prêts à payer pour récupérer notre facture. Nous avions peur de perdre 5 ans de travaux pour bâtir une communauté de 23 000 abonnés », grogne l’un des propriétaires de ce monument historique.

READ  Vie extraterrestre: une biosignature détectée dans l'atmosphère de Vénus

Grâce à l’action du cabinet de Roselyne Bachelot au ministère de la Culture, Facebook finit par prendre le contrôle du compte Instagram et le restituer à son créateur.

La victime a fini par payer

De son côté, servant de vitrine virtuelle à son entreprise, Stéphanie n’a pas eu cette chance. Après avoir négocié 4 jours avec la rançon, “avec un sentiment d’otage victime du syndrome de Stockholm”, éclate le leader des PME. “Je n’avais pas la force de repartir de zéro et notre réputation était en jeu sur notre capacité à sécuriser les affaires en ligne et donc les paiements”, se souvient-il.

Bulletin Essentiels du matin

Un tour de l’actualité pour commencer la journée

Effectuez ensuite un premier virement de 200 euros sur un compte Western Union domicilié en Turquie. Complétez le montant seulement après avoir repris le contrôle. «Le problème n’était plus le prix à payer mais la capacité du hacker à prouver sa crédibilité et son intention de déverrouiller mon compte», explique la victime.

Pour prouver sa bonne foi, le hacker pousse également le vice à utiliser l’exemple de la transaction réussie avec Stéphanie avec d’autres victimes. “Il m’a envoyé la preuve d’avoir dénoncé à d’autres victimes pour établir un lien de confiance et m’extorquer 400 euros”, témoigne une autre victime mexicaine qui fait la promotion des marques de bikini en son nom.

Une attaque rentable

Les cibles ne sont jamais choisies au hasard. «Ils ciblent des comptes à valeur marchande réelle et au moins 10 000 followers, voire 20 000, car ils ont des sponsors pour le placement de produit et donc de l’argent», explique Matthieu Dierick, expert en cybersécurité chez F5. «La rançon variera en fonction de la communauté incluse dans le compte et de ce que la victime a à perdre. L’attaquant peut demander beaucoup au début et se réajuster en négociant avec la victime. Cela peut facilement dépasser plusieurs milliers d’euros », souligne ce spécialiste.

READ  Ivre, il menace de faire sauter la centrale nucléaire de Belleville-sur-Loire

Avec une ligne comptable pour l’horizon: “Il doit trouver le bon montant pour rentabiliser son attaque, ce qui lui coûte de l’argent car il paie, par exemple, un passerelle qui vous permet d’envoyer des messages en choisissant un numéro américain pour vous faire passer pour un réseau social ».

«Ce sont des victimes parfaites et à portée de cybercriminels semi-professionnels car ce ne sont pas des entreprises qui savent se protéger, ils ont une relation privilégiée avec les géants des réseaux sociaux ou ils peuvent faire appel à un avocat pour engager des poursuites judiciaires», se plaint-il .

Si une institution, le Château de Cheverny, déposait immédiatement une plainte, Stéphanie était convaincue que «cela ne mènerait à rien». “Il faut porter plainte pour que ces crimes apparaissent sur le radar de la police, dont les experts sont suffisamment efficaces pour les contrer”, insiste François Coupez, avocat au tribunal de Paris. «Une telle tentative d’extorsion est punie jusqu’à 7 ans de prison et la justice est plus lourde car elle comporte une part traumatisante pour la victime qui va au-delà du simple préjudice commercial», rappelle le spécialiste des nouvelles technologies.

Instagram dit qu’il est “conscient” du problème

Conscient de cette campagne de phishing et d’extorsion, Instagram a pris soin de retenir certains principes de sécurité pour limiter la surface d’attaque des cybercriminels. “Nous encourageons tout le monde à créer un mot de passe fort et complexe, à utiliser une authentification à deux facteurs par e-mail et SMS, et à ne pas utiliser d’applications tierces pour protéger leur compte.”

READ  Annonce et matériel Kojima Prod.

«Nous avons mis en place des mesures anti-piratage avec détection automatique d’une connexion suspecte à partir d’un nouvel emplacement. Vous serez alors prévenu et nous vous demanderons de vérifier votre compte “, insiste cette filiale Facebook. Et surtout,” nous ne vous demanderons pas de partager vos identifiants par email et nous ne vous demanderons jamais de payer pour retrouver l’accès à votre compte. compte “.

Ses équipes françaises nous ont également assuré que nous travaillons sur un suivi plus personnalisé de ces dossiers affectant les comptes sur lesquels repose la rentabilité des TPE. Un point encore plus délicat en période d’épidémies et de fermetures de magasins.

Cunégonde Lestrange

"Gourou de Twitter. Écrivain en herbe. Fauteur de troubles typique. Entrepreneur. Étudiant hipster."

Articles similaires

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Bouton retour en haut de la page
Fermer
Fermer