En mars 2021, les 10 principaux sites de rencontres en France ont enregistré 46,4 millions de visites selon une étude réalisée par monpetitdate. Les applications de rencontre sont devenues de véritables outils pour trouver sa future moitié. Cependant, ces applications ne sont pas utilisées uniquement à des fins bienveillantes.
Le catfishing (ou catphishing), une variante du phishing, consiste à utiliser une fausse identité en ligne afin d’extorquer de l’argent ou des données personnelles. Les hackers pratiquant cette arnaque séduisent leur victime sur la durée et utilisent l’ingénierie sociale pour instaurer un climat de confiance dans l’objectif de faire baisser la vigilance de la victime.
Bien que de nombreux cas de catfishing ne concernent que des particuliers, cela peut également être utilisé pour mener à bien des attaques contre des entreprises.
Dans cet article nous reviendrons sur l’attaque “Mia Ash” menée contre la société Deloitte avant de parler de techniques de protection.
1 – Le catfishing peut être une menace pour votre entreprise
OilRig, une équipe de hackers iraniens a usurpé l’identité de Cristina Mattei, une photographe roumaine. À partir des informations et photos de madame Mattei, OilRig a créé un faux profil Facebook sous le nom de Mia Ash, une soi-disant photographe vivant à Londres.
En juillet 2016, un employé en cybersécurité chez Deloitte, grand cabinet de conseil, reçoit un message sur son compte Facebook de la fameuse Mia Ash, lui indiquant qu’elle souhaiterait échanger sur leur travail respectif.
OilRig va ensuite construire une relation, créer un lien en flattant par exemple l’employé sur ses différentes compétences. C’est après plusieurs semaines que la victime propose son aide au faux profil pour créer son nouveau site. Mia lui envoie alors un fichier censé contenir des photos d’elle.
Ce fichier contenait en fait Pupyrat, un malware créé pour extraire des identifiants de connexion au système de Deloitte.
Heureusement pour Deloitte, le logiciel n’a pas réussi à se connecter aux systèmes de l’entreprise, ce qui a empêché la fuite de données.
Deloitte a cependant révélé avoir été victime d’une autre attaque ciblant ses serveurs hébergés par Microsoft Azure sur la même période que l’affaire « Mia Ash ». On peut donc supposer que les deux attaques sont liées et que l’une résulte de l’autre.
2 – Comment repérer un catfish ?
Avant de vous aider à repérer un cas de catfishing, il est important de souligner la complexité de détection dû au contexte de rencontre.
C'est très différent d'une attaque par sextorsion.
Dans cette situation, il est normal d’en apprendre plus sur l’autre et qu’une part d’information personnelle soit échangée. Cependant, si plusieurs des points ci-dessous se retrouvent dans votre conversation, il est fort probable que vous ayez affaire à un scammer, restez attentifs !
Demande d’informations personnelles
Lors d’un échange sur une application de rencontre, il est logique de demander plus d’informations sur son interlocuteur.
Cependant, un scammer vous demandera généralement des informations personnelles plus vite que lors d’une conversation classique.
Votre salaire, votre adresse, votre email ou des identifiants de connexions sont des demandes inhabituelles qui doivent éveiller votre vigilance.
Pas de contact en personne / en vidéo
Un individu malveillant évitera toujours les contacts physiques ou en vidéo car il se ferait plus facilement démasquer, il annulera donc toujours au dernier moment ces rencontres. Une vraie personne pourrait bien évidemment avoir un imprévu l’empêchant de vous rejoindre mais lorsque les annulations sont répétitives, c’est un signe de catfishing.
Trop beau pour être vrai
Si vous n’avez que des points communs, que votre interlocuteur est d’accord avec tout ce que vous dites, c’est sûrement trop beau pour être vrai. De plus, un profil présentant tous les points d’une grande réussite sociale, un physique séduisant et une grande richesse est probablement faux.
Flatterie excessive
Un scammer de bas niveau manquera d’intelligence sociale et et vous flattera à l’excès.
Si une personne vous déclare sa flamme dès le premier ou deuxième échange, il est judicieux de se poser des questions sur l’authenticité de ses propos et son identité.
Manque de cohérence dans certains propos
En fonction du degré de préparation de l’attaquant, sa fausse identité et ses prétextes peuvent comporter des incohérences. Prêtez attention aux détails et n’hésitez pas à mettre votre interlocuteur face à ses contradictions.
Demande d’aide financière
La demande d’aide financière est la finalité d’une grande majorité des attaques de catfishing ciblant les particuliers. D’une manière générale, il est évident qu’envoyer de l’argent à une personne dans ce contexte est une erreur et un signal d’alarme fort.
Identité numérique incomplète
Bien souvent, les profils créés à des fins de catfishing manquent de “profondeur”. Ils ne sont présents que sur la plateforme utilisée pour mener l’attaque.
Recherchez l’individu sur d’autres réseaux sociaux, si vous n’avez pas de résultat et qu’aucun compte annexe comme LinkedIn n’est relié au profil, alors vous avez peut-être affaire à un cas de catfishing.
D’autre part, ces profils constituant une forme d’identité numérique vous donnent du contexte et vous permettent de vérifier la cohérence des informations échangées au cours des conversations.
Personne seule sur les photos
Si le profil de votre interlocuteur ne contient que des photos où la personne y figure seule, qu’il n’y a aucune autre personne sur ses photos, c’est un profil suspect. En effet, des photos de groupe impliquent de devoir inventer une relation avec chacune des personnes présentes. Il est donc plus facile d’usurper l’identité d’une personne apparaissant seule. De plus, si le profil présente uniquement des photos professionnelles dignes d’un magazine, c’est un autre indice sur le danger potentiel de votre interlocuteur. Un vrai profil a nécessairement des photos plus “naturelles”.
Transmissions de fichiers
Une autre finalité de ce type d’attaque est le piratage du poste connecté. Que ce soit en entreprise, comme avec l’affaire Mia Ash ou pour un particulier, il est très simple de transmettre des fichiers malveillants.
Envoyer une archive avec des photos ou installer un programme pour faire un appel vidéo sont des exemples d’envoi de fichiers potentiellement dangereux.
Comment se protéger du catfishing ?
Nous avons vu les différents indices utiles pour repérer un catfishing. Nous allons maintenant examiner les actions à mener pour vous protéger contre ces attaques.
Recherche d’image inversée
Prenez une capture d’écran de la photo de profil de votre interlocuteur. Ensuite, réalisez une recherche d’image inversée sur Google, TinEye ou encore PimEyes afin de retrouver d’autres sources de l’image. Généralement, les photos de profil de compte de catfishing appartiennent à d’autres profils existants.
Aperçu de l'interface de PimEye
Attention cependant, il est de plus en plus facile de créer des photos de profils à partir de générateurs basés sur de l’intelligence artificielle comme thispersondoesnotexist.com
Demander des photos et vidéos dans différents contextes
Bien qu’il existe des technologies comme les deep fakes, plus on demande des photos dans divers contextes, plus il est coûteux pour l’attaquant de rester cohérent. Demandez des vidéos de votre interlocuteur ou des photos de groupes. Ces éléments sont plus difficiles à produire que de simples photos de profil.
L’intuition
Si vous avez un doute sur l’identité de votre interlocuteur, fiez-vous à votre intuition. Un mauvais pressentiment n’est jamais sans raison et pourrait vous éviter une situation dangereuse et désagréable.
Évitez de transférer de l’argent à un inconnu
Cela va sans dire, n’envoyez jamais d’argent à un individu que vous n’avez jamais rencontré physiquement. Évitez également de divulguer trop d’informations personnelles dans vos conversations avec un inconnu. Vous réduirez ainsi les chances de vous faire arnaquer.
Cloisonnement
Une des règles de base de la cybersécurité est de ne pas mélanger les usages. Le matériel (ordinateur, téléphone) mais aussi les sites et adresses email que vous pouvez utiliser pour vos activités et discussions personnelles doivent être différents de vos équipements et adresses professionnelles.
Ainsi, l’infection d’un ordinateur personnel par un malware venant d’un catfishing, ne peut se répandre sur le réseau de l’entreprise.
Protections logicielles
La première mesure pour éviter l’infection est d’être très prudent avec les fichiers échangés sur ces plateformes.
Dans le cas de la transmission de malwares, la présence d’un antivirus à jour et d’un firewall pourront potentiellement limiter l’impact de l’attaque en détectant le malware ou l’activité réseau suspecte de ce dernier.
Signaler
Comme pour la plupart des cyberattaques, signaler l’arnaque aide les autorités à mettre la main sur les hackers. Il est donc important de signaler des faux profils ou tentatives d’arnaques sur des applications ou réseaux sociaux.
Vous pouvez également signaler l’attaque sur signal-spam.fr une plateforme en ligne où la CNIL (Commission Nationale de l’Informatique et des Libertés) prendra en charge votre signalement.
Conclusion
Le catfishing est une attaque souvent considérée comme « évidente » à identifier. Néanmoins comme pour le phishing, même des personnes sensibilisées peuvent se faire avoir.
La preuve en est avec l’affaire Mia Ash ou un employé en cybersécurité s’est fait avoir.
Il est important de communiquer sur ces attaques afin de faire prendre conscience du risque qu’elles posent.
En ayant connaissance des dangers potentiels, vous serez plus vigilants sur les applications de rencontre et donc plus protégés.