Attaque de phishing : prudence avec les badges bleus d'Instagram

Attaque de phishing : prudence avec les badges bleus d’Instagram

La technique de phishing qui propose une fausse certification de compte Instagram fonctionne toujours autant. Ce n’est pas la première fois, et ce ne sera certainement pas la dernière fois que les hameçonneurs promettent des badges bleus aux abonnées du réseau. Raison pour laquelle elle est souvent reprise par les attaquants.

Les badges bleus sur Instagram, qu’est-ce que c’est ?

Certains comptes sur Instagram disposent d’un badge bleu. Il s’agit d’un signe de certification. Autrement dit, le badge bleu indique que le compte a été vérifié et certifié par l’administration du réseau.

Les comptes certifiés bénéficient d’une plus grande couverture et inspirent la confiance. Le badge bleu renforce la fiabilité et la crédibilité d’un compte. Cela explique pourquoi les abonnées convoitent autant cette certification.

Les acteurs malveillants voient cet engouement comme une aubaine. Tirer parti de la certification leur permettrait de piéger des milliers de personnes. Et ce, en exploitant l’enthousiasme des utilisateurs attirés par la possibilité de mettre à niveau leur statut. 

Phishing Instagram : mode opératoire 

Attaque de phishing : prudence avec les badges bleus d'Instagram

L’attaque commence par un email de phishing. Le courriel informe la cible qu’Instagram a examiné son compte et qu’elle est éligible à la certification. Les attaquants l’amènent ensuite à cliquer sur un bouton supposé mener vers un formulaire ad hoc pour l’obtention du badge bleu.

Ceux qui tombent dans le piège vont remplir le formulaire en trois étapes. L’acteur malveillant justifie ces formulaires par la vérification de l’identité du propriétaire du compte. Pour chaque étape, la page affiche les logos d’Instagram et d’autres plateformes de médias sociaux. Et ce, pour créer un sentiment de légitimité. 

Le premier formulaire permet aux attaquants de récolter l’identifiant du compte de la victime. Le second concerne les informations personnelles (nom, prénom, email, numéro téléphone). Et avec le dernier formulaire, ils espèrent obtenir le mot de passe. 

Comment se protéger de ces attaques ? 

Pour se prémunir de ce genre d’attaque, l’utilisateur doit systématiquement vérifier la légitimité du site avant de fournir des informations personnelles. Si besoin, ne pas hésiter à se renseigner auprès du support du site concerné.

Par ailleurs, certains signes peuvent indiquer qu’il s’agit d’un email de phishing. Le nom de domaine est un élément très révélateur. Les fautes d’orthographe et de grammaire dans le contenu des emails peuvent aussi alerter. 

Les liens raccourcis (tinyurl, bitly) peuvent également indiquer un mail de phishing. Il y a également les sentiments d’urgence qui doivent interpeller. Dans cette campagne de phishing par exemple, le message informe les utilisateurs que s’ils ignorent le message, le formulaire sera définitivement supprimé dans 48 heures.

Protégez-vous des attaques de phishing avec un logiciel de protection performant choisi parmi notre top des meilleurs antivirus

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.

Pin It on Pinterest