Le phishing, pratique frauduleuse se répandant principalement par e-mail, s’adapte aux réseaux sociaux, et notamment Twitter : si vous cliquez sur un lien malicieux, vous risquez non seulement d’être infecté, mais aussi de transmettre vos coordonnées bancaires à des personnes peu scrupuleuses.
La pratique du phishing est presque aussi vieille qu’Internet lui même : les victimes reçoivent un mail – apparemment officiel ou anodin – d’une connaissance ou d’une organisation reconnue (Yahoo, Collisimo, EDF, Orange, SFR, Free, La Banque Postale, PayPal, CAF, Visa Mastercard, etc.). Il s’agit en réalité d’un faux message, invitant ses destinataires à cliquer sur un lien frauduleux, qui pointe souvent vers un site ressemblant étrangement à celui de l’identité usurpée : sont alors demandées de nombreuses informations personnelles, et surtout bancaires, que certains internautes piégés confient sans se méfier.
Avec le succès mondial des réseaux sociaux, et notamment de Twitter, les cybercriminels professionnels du phishing adaptent leurs techniques pour accroître leur butin. Selon Trusteer (spécialiste en sécurité informatique), des tweets malicieux d’un nouveau genre commenceraient à se répandre dans la tweetosphère. Ces tweets auraient deux objectifs :
- Récupérer des identifiants et mots de passe Twitter via le navigateur, afin de pouvoir usurper l’identité des twittos et envoyer des messages à leurs followers à leur place : ces followers, qui n’ont a priori aucune raison de se méfier de ces tweets frauduleux, participent à leur tour à l’expansion du phishing, et ainsi de suite
- Proposer un lien infecté par un malware, qui s’installe de façon autonome et discrète (Drive-by Download), et dont le but est de détecter les transactions financières opérées depuis l’ordinateur infecté, afin d’en retirer un profit. Des informations personnelles peuvent également être capturées.
Selon Laurent Heslaut, directeur de la stratégie de la société de sécurité Norton, « c’est la première fois que ce type d’attaque intervient sur Twitter« .
Comment éviter le piège du phishing sur Twitter ?
La première des sécurités est de maintenir à jour à la fois son système (ex : Windows 8) et ses logiciels de sécurité (antivirus, anti-spyware, etc.). Pour le reste, l’approche de type phishing (par usurpation d’identité) reste assez difficile à détecter, d’autant que les messages, très variés, suscitent toujours la curiosité (en fonction des pays) :
Beyonce tombe pendant son concert au Super Bowl, trop drôle !!!
Notre nouveau roi William gagnerait encore plus que Beatrix. Découvre son salaire.
Le PDG de [grande banque néerlandaise] s’est envolé avec nos millions. Le ministre examine cela de près… Voir.
Par ailleurs, le lien frauduleux proposé dans le tweet est systématiquement raccourci (short URL), comme par exemple « hXXp://yix.be/b18e9« . Ces adresses raccourcies sont certes plus faciles à utiliser, mais elles cachent souvent la vraie destination du lien. C’est pourquoi elles sont très appréciées des cybercriminels. Toutefois, étant donné que sur Twitter les messages sont limités à 140 caractères, ces « short URLs » sont monnaie courante et n’étonnent plus personne. En cas de doute, pour vérifier la destination réelle d’une URL courte, copiez-collez le lien sur unshorten.com.
Le phishing sur Twitter est donc un piège extrêmement bien ficelé. Pour l’heure, celui décrit ci-dessus n’a été repéré qu’aux Pays-Bas, mais Twitter étant un réseau social mondial, il est à craindre que cette pratique se répande assez vite. Surtout si elle s’avère particulièrement lucrative pour ses créateurs.
En définitive, la seule arme des internautes est la méfiance. Pas facile sur un réseau social où tout va très vite et où certains cliquent facilement sur des tweets absurdes, futiles ou étonnants.
Sources : europe1.fr / trusteer.com
Comment protéger mon identité numérique sur internet?Le phishing revient à la mode.Etait-il passé de mode?Il est rare d’avoir une boite mail et de ne pas recevoir un lien frauduleux.Ce qui est par contre étonnant c’est qu’on en parle.Il reste bien sur les précautions d’usage à prendre.Ne pas répondre à un mail lorsqu’on ne connait pas l’expéditeur.Ne pas cliquer sur un lien dont on n’est pas sur.
[…] Le phishing, pratique frauduleuse se répandant principalement par e-mail, s’adapte aux réseaux sociaux, et notamment Twitter : si vous cliquez sur un lien malicieux, vous risquez non seulement d’être infecté, mais aussi de transmettre vos coordonnées bancaires à des personnes peu scrupuleuses. […]
[…] Le phishing, pratique frauduleuse se répandant principalement par e-mail, s’adapte aux réseaux sociaux, et notamment Twitter : si vous cliquez sur un lien malicieux, vous risquez non seulement d’être infecté, mais aussi de transmettre vos coordonnées bancaires à des personnes peu scrupuleuses. […]