Les "connexions suspectes" arnaquent leur jeu - faites attention à Noël

Le Black Friday est derrière nous, le truc de football qu'ils organisent tous les quatre ans est terminé et dépoussiéré (félicitations – alerte spoiler ! – à l'Argentine), c'est le solstice d'été/hiver (supprimer comme inapplicable)…

… et personne ne veut être exclu de ses comptes de réseaux sociaux, surtout lorsque vient le temps d'envoyer et de recevoir des vœux saisonniers.

Ainsi, même si nous avons déjà écrit sur ce type d'escroquerie par phishing, nous avons pensé présenter un rappel opportun du type de supercherie à laquelle vous pouvez vous attendre lorsque des escrocs tentent de récupérer vos mots de passe sur les réseaux sociaux.

Nous avons cliqué pour vous

Parce qu'une image vaut 1024 mots, nous allons vous montrer une séquence de captures d'écran d'une récente arnaque sur les réseaux sociaux que nous avons nous-mêmes reçues.

En termes simples, nous avons cliqué pour que vous n'ayez pas à le faire.

Celui-ci a commencé par un e-mail qui prétend veiller à votre sûreté et sécurité en ligne, même s'il tente en réalité de saper complètement votre cybersécurité :

Même si vous avez peut-être reçu des e-mails similaires de la part d'un ou plusieurs de vos fournisseurs de comptes en ligne dans le passé, et même si celui-ci ne contient aucune faute d'orthographe ou de grammaire flagrante…

…En fait, même s'il s'agissait réellement d'un véritable e-mail provenant d'Instagram (ce n'est pas le cas !), vous pouvez mieux vous protéger simplement en ne cliquer sur aucun lien dans l'e-mail lui-même.

Si vous disposez de votre propre signet pour les pages d'aide d'Instagram, recherché et enregistré lorsque vous n'étiez soumis à aucune pression de cybersécurité, vous pouvez simplement accéder directement à Instagram, tout seul.

De cette façon, vous évitez parfaitement tout risque d'être mal dirigé par le texte bleu (le lien cliquable) dans l'e-mail, qu'il soit réel ou faux, fonctionnel ou cassé, sûr ou dangereux.

Le problème de cliquer

Si vous cliquez, peut-être parce que vous êtes pressé ou que vous vous inquiétez de ce qui aurait pu arriver à votre compte…

… eh bien, c'est là que les ennuis commencent, avec une fausse page qui semble assez réaliste.

Les escrocs prétendent que quelqu'un, probablement quelqu'un en vacances à Paris, a tenté de se connecter à votre compte :

Vous devriez vous méfier du nom du serveur qui apparaît dans la barre d'adresse de cette arnaque (nous l'avons expurgé ici, même si cela ne ressemble en rien à instagram.com), mais nous pouvons comprendre pourquoi tant d’utilisateurs se laissent surprendre par de faux domaines.

C'est parce que de nos jours, de nombreux services en ligne légitimes font qu'il est presque impossible de savoir à quoi s'attendre dans votre barre d'adresse, en tant qu'expert Sophos (et invité populaire du podcast Naked Security) Chester Wisniewski expliqué de retour pendant le Mois de la sensibilisation à la cybersécurité :

Dans cette arnaque, que vous cliquiez [This wasn't me] or [This was me], les escrocs vous emmènent sur le même chemin, en vous demandant d'abord votre nom d'utilisateur :

La formulation commence à devenir un peu maladroite sur l'écran suivant, où les escrocs cherchent votre mot de passe, mais elle reste assez crédible :

Une fausse erreur

Les escrocs prétendent alors que vous avez commis une erreur, vous demandant non seulement de saisir votre mot de passe une seconde fois, mais également d'ajouter un tout petit peu plus d'informations personnelles sur votre localisation :

Toutes les escroqueries par phishing de ce type n'utilisent pas l'astuce « votre mot de passe est erroné », mais c'est assez courant.

Nous soupçonnons que les escrocs agissent ainsi parce qu'il existe encore des conseils de sécurité douteux qui disent : « Vous pouvez facilement détecter un site frauduleux en saisissant d'abord délibérément un faux mot de passe ; si le site vous laisse entrer de toute façon, alors il est évident que le site ne connaît pas votre vrai mot de passe.

Si vous suivez ce conseil (ne le faites pas, cela ne vous donne qu'un faux sentiment de sécurité), vous pourriez tirer la conclusion dangereuse que le site doit sûrement connaître votre véritable mot de passe, et doit donc être authentique, étant donné qu'il semble pour savoir que vous avez saisi un mauvais mot de passe.

Bien entendu, les escrocs peuvent affirmer en toute sécurité que vous vous êtes trompé de mot de passe la première fois, même si ce n'est pas le cas.

Si vous vous êtes délibérément trompé de mot de passe, les escrocs peuvent simplement faire semblant de « savoir » que c'était faux afin de vous piéger et de poursuivre votre arnaque.

Mais si vous êtes sûr d’avoir bien saisi le bon mot de passe et que le faux message d’erreur vous rend méfiant…

…il est trop tard, car les escrocs vous ont déjà arnaqué.

Une dernière question

Si vous continuez, les escrocs essaieront de vous soutirer une information personnelle supplémentaire, à savoir votre numéro de téléphone :

Et pour vous sortir de l'arnaque en douceur, les escrocs finissent par vous rediriger vers la véritable page d'accueil d'Instagram, comme pour vous inviter à confirmer que votre compte fonctionne toujours correctement :

Que faire?

• Gardez une trace des pages officielles « vérifier votre compte » et « comment gérer les contestations en cas d'infraction » des réseaux sociaux que vous utilisez. De cette façon, vous n’aurez plus jamais besoin de vous fier aux liens envoyés par e-mail pour vous y retrouver à l’avenir. En plus des faux avertissements de connexion comme celui présenté ici, les attaquants utilisent souvent des violations concoctées des droits d'auteur, des violations inventées des conditions générales de votre compte et d'autres faux « problèmes » avec votre compte.
• Choisissez des mots de passe appropriés. N'utilisez pas le même mot de passe que sur d'autres sites. Si vous pensez avoir divulgué votre mot de passe sur un faux site, modifiez-le dès que possible avant que les escrocs ne le fassent. Pensez à utiliser un gestionnaire de mots de passe si vous n'en avez pas déjà un.
• Activez 2FA (authentification à deux facteurs) si vous le pouvez. Cela signifie que votre nom d'utilisateur et votre mot de passe seuls ne suffiront pas pour vous connecter, car vous devrez inclure un code à usage unique, soit à chaque fois, soit peut-être seulement lorsque vous essayez pour la première fois d'utiliser un nouvel appareil. Bien que cela ne garantisse pas d'éloigner les escrocs, car ils peuvent essayer de vous inciter à révéler votre code 2FA ainsi que votre mot de passe, cela rend néanmoins la tâche plus difficile pour un attaquant.
• Ne partagez pas trop. Même s’il semble courant de partager une grande partie de votre vie sur Instagram de nos jours, vous n’êtes pas obligé de tout dévoiler sur vous-même. Pensez également à qui ou à quoi se trouve en arrière-plan de vos photos avant de les télécharger, au cas où vous partageriez par erreur des informations excessives sur vos amis, votre famille ou votre foyer.
• Reste vigilant. Si un compte ou un message vous semble suspect, n'interagissez pas, ne répondez pas au compte et ne cliquez sur aucun lien qu'ils vous envoient. Si quelque chose semble trop beau pour être vrai, supposez que c’est trop beau pour être vrai.
• Pensez à définir votre compte Instagram comme privé. Si vous n'essayez pas d'être un influenceur que tout le monde peut voir et si vous utilisez Instagram davantage comme plateforme de messagerie pour rester en contact avec vos amis proches que comme moyen de parler de vous au monde, vous voudrez peut-être créer votre compte. privé. Seuls vos abonnés pourront voir vos photos et vidéos. Passez régulièrement en revue votre liste de followers et excluez les personnes que vous ne reconnaissez pas ou que vous ne souhaitez plus vous suivre.

• En cas de doute, ne le donnez pas. Ne vous précipitez jamais pour effectuer une transaction ou confirmer des informations personnelles parce qu'un message vous indique que vous êtes pressé par le temps. Si vous n'êtes pas sûr, demandez conseil à quelqu'un que vous connaissez et en qui vous avez confiance dans la vraie vie, afin de ne pas finir par faire confiance à l'expéditeur du message auquel vous n'êtes pas sûr de pouvoir faire confiance. (Et voir le premier conseil ci-dessus.)

---