Instagram: l’attaque des clones | WeLiveSecurity

Instagram: l’attaque des clones

Vos profils sur les médias sociaux pourraient-ils être usurpés, pourquoi quelqu'un ferait une telle chose et que pouvez-vous faire pour éviter d'avoir un double?

Vos profils sur les médias sociaux pourraient-ils être usurpés, pourquoi quelqu’un ferait une telle chose et que pouvez-vous faire pour éviter d’avoir un double?

Les médias sociaux présentent de grands avantages, comme le fait de rester en contact avec ses proches et de partager des expériences avec ses amis. Mais malheureusement, comme presque tout ce qu’on trouve sur Internet, ils peuvent facilement faire l’objet d’abus. Avec un peu de créativité et un peu de chance, il est possible de les utiliser pour voler des victimes à leur insu.

J’avais entendu des histoires de clonage de compte, mais j’ai toujours supposé que les gens vérifiaient avec le titulaire du compte via une autre forme de communication ou au moins y réfléchissaient à deux fois avant d’envoyer de l’argent sur un compte avec lequel ils n’étaient connectés que récemment. Malheureusement, les gens sont toujours pris au piège de cette escroquerie et je veux aider à atteindre ceux qui ne savent peut-être pas comment fonctionne l’escroquerie.

Comme pour tous mes moyens de faire passer un message de sécurité, j’ai dû mener une petite expérience pour tester cette escroquerie dans le monde réel et voir de première main la facilité avec laquelle elle peut fonctionner. Il est plus facile de faire passer votre message sur les risques en montrant un exemple réel de l’escroquerie, afin d’inciter efficacement les gens à mieux protéger leurs comptes et eux-mêmes. Tout ce dont j’avais besoin, c’était d’un volontaire qui serait prêt à me permettre de créer un compte cloné et ensuite de tenter de tromper ses amis. Par contre, je me suis bien vite retrouvé à court d’amis à escroquer! J’eus beau cherché, mais en vain; personne ne voulait jouer le jeu cette fois.

Ainsi, n’ayant pas réussi à trouver quelqu’un qui soit heureux que je clone son compte pour le test, j’ai décidé que je devrais cloner mon propre Instagram. Je suis près de 900 comptes sur Instagram et j’ai l’habitude de poster les mêmes vieilles photos de paysages marins ou des photos de moi me pavanant sur la plage à mes 1400 adeptes. J’ai décidé de créer un nouveau compte sur mon téléphone de secours et j’ai pris quatre copies d’écran plutôt que de télécharger les originaux pour le rendre aussi authentique que possible, comme l’aurait fait quelqu’un d’autre. Il était facile de dupliquer ces images. La seule difficulté potentielle est qu’en copiant la photo de profil, il aurait fallu l’afficher dans le flux pour en faire une copie de bonne.

Voici une capture d’écran de mon vrai compte Instagram, @jakemooreuk.

Et voici mon compte Instagram cloné, @jakemoore_uk. Notez le changement de bio pour indiquer (traduction) « NOUVEAU COMPTE APRÈS PERTE D’ACCÈS AUX ORIGINAUX ».

J’ai décidé de suivre 30 de mes amis pour voir s’ils me suivraient et laisser l’expérience commencer. Dix étaient des comptes privés, ils devaient donc être approuvés, et 20 étaient des comptes publics.

En quelques instants, trois propriétaires de comptes privés ont accepté ma demande et deux m’ont suivi. C’était un bon début. Je m’attendais à ce que quelqu’un me contacte par un autre moyen de communication et remette en question cette demande, notamment en raison de mon travail et de l’embarras que j’aurais pu subir, s’il s’avérait que même moi, je suis susceptible de voir mon compte compromis!

Mais personne ne l’a fait. En fait, les chiffres ont augmenté. Treize comptes m’ont suivi le même jour et le soir même, j’ai décidé d’envoyer un message à ces personnes et de voir quel genre de réponses je recevrais.

Dans un premier temps, j’ai mentionné le compromis de compte et les ai remerciés d’avoir accepté la nouvelle demande de suivi, puis j’ai invité mes contacts à me donner des nouvelles.


J’ai reçu 8 réponses de la part de mes 13 nouveaux followers. L’objectif du test était de créer une histoire assez bonne pour demander rapidement de l’argent sans éveiller de soupçons. Ceci paraitrait très incongru de la part d’un inconnu, mais lorsque les victimes croient savoir à qui elles parlent, elles ont beaucoup plus de chances d’accepter de donner de l’argent.

Un de mes contacts m’a répondu par un message d’espoir. Elle s’est clairement sentie mal pour moi et a reconnu combien la situation devait être frustrante.

L’ingénierie sociale à son meilleur état nécessite de la crédibilité, de la confiance et un peu de chance pour que tout cela soit plausible et ait un sens. Le simple fait de demander aux gens de virer de l’argent sur un compte bancaire au hasard dans le premier message aurait très probablement sonné l’alarme; voilà pourquoi j’avais déjà prévu d’orienter la conversation pour discuter de ma situation de trésorerie dès que le fil me le permettrait.

Avant le test, j’avais créé un nouveau compte PayPal à mon nom pour qu’il paraisse plus légitime qu’un numéro de compte bancaire, ce qui est similaire à ce qu’un fraudeur ferait avec une adresse électronique ayant la même consonance que mon nom dans le compte PayPal. J’ai choisi ce compte tel qu’il était disponible – jakemooreuk@xxxxxx.com.

Voici comment s’est déroulée cette conversation :

Ce que j’ai trouvé le plus déconcertant, c’est la rapidité avec laquelle tout a dégénéré et j’ai pu faire croire à la cible que c’était un vrai compte sans qu’il soit nécessaire de faire des vérifications supplémentaires. J’ai même réussi à lui faire croire qu’elle était la personne qui me proposait de m’aider, ce qui était un joli petit tour. C’est généralement une technique intelligente utilisée par les ingénieurs sociaux professionnels qui inversent la psychologie pour éviter la demande d’argent.

NB : J’ai pu prendre contact avec cette connaissance avant qu’elle ne dépose de l’argent sur ce nouveau compte PayPal. Cependant, on voit qu’exécuter cette escroquerie s’est avéré simple : cette escroquerie est facile à réaliser lorsqu’une telle masse d’informations est proposée en ligne. Il suffit de disposer d’un compte à cloner et d’un ensemble de contacts.

Comment pouvez-vous protéger vos comptes sur les médias sociaux?

Il est essentiel de tâcher de réduire la quantité d’informations personnelles et de photos de soi-même en ligne lorsque cela est possible. Bien que ce soit une tâche énorme, il est important d’apprendre à la prochaine génération d’utilisateurs de médias sociaux à essayer de limiter la quantité d’informations qui sont mises en ligne avant qu’elles ne soient publiées pour toujours. Cette escroquerie ne fonctionnera pas si les comptes sont privés.

Cependant, de nombreuses personnes dont les comptes sont privés permettent encore à des personnes qu’elles ne connaissent pas nécessairement de les suivre, car elles n’exercent qu’un contrôle minimal des personnes qu’elles acceptent. Il est extrêmement important de réfléchir à ce que vous publiez et de n’accepter que les personnes qui vous suivent et que cela ne vous dérange pas d’en savoir plus sur vous. Le fait d’être complètement public peut créer des dangers comme celui-ci.

Il faut également rappeler aux utilisateurs de ne jamais rien prendre pour argent comptant lorsqu’on leur demande de l’argent. Il est primordial de demander une validation dans une autre forme de communication avant d’envoyer de l’argent à un nouveau bénéficiaire. Si la victime avait appelé le vrai moi, alors le « moi-arnaqueur » aurait été déjoué.

Mais si cela s’était produit, j’aurais pu rapidement passer au suivant, en tentant de reprendre mon arnaque auprès des sept autres contacts, et je les aurais ciblées à la place.

Cette escroquerie ne se limite pas à Instagram – j’ai également vu cela se produire sur Facebook, Twitter et LinkedIn – alors assurez-vous de garder un œil sur les comptes clonés. Signalez ces comptes et avisez le détenteur légitime du compte.

Vous aimerez également: 

Comment le partage (excessif) sur les médias sociaux peut se retourner contre vous

Infolettre

Discussion