Instagram est un réseau social très populaire, il est donc logique que le phishing sur Instagram soit tout aussi populaire. Selon une étude, « Digital Report 2021 » publiée par Hootsuite et We Are Social, Instagram est la 5ème application la plus téléchargée et possède 1,221 milliard d’utilisateurs actifs. L’étude montre également une augmentation de 63,6% d’utilisateurs d’Instagram pour les individus âgés entre 55 et 64 ans. Instagram n’a donc pas fini de grandir auprès d’une démographie de plus en plus étendue.
Le réseau social se base sur la publication de contenus très visuels — photos ou vidéos — ainsi qu’une messagerie instantanée. Comme tout réseau social, les hackers peuvent exploiter à la fois les systèmes de communication disponibles au sein de l’application Instagram, mais aussi y gagner accès à partir de stratégies de phishing plus conventionnelles comme le credential harvesting.
Dans cet article, nous allons aborder les impacts qu'engendre une telle attaque, à travers quels scénarios elles peuvent avoir lieu et comment s’en protéger.
Impact du piratage d'un compte Instagram
Que l’on soit un particulier ou une entreprise, il existe de nombreuses conséquences dans le piratage d’un compte Instagram. De la divulgation d’informations confidentielles à la dégradation de l’image de marque, la compromission de votre compte Instagram peut avoir de lourdes conséquences.
Fuite de données
L’accès à vos messages privés est une conséquence immédiate du piratage de votre compte Instagram. En obtenant l'accès à votre compte Instagram, vous risquez de vous faire voler vos données privées par le biais de vos conversations.
Si vous échangez des informations confidentielles via cette messagerie, par exemple lors de conversation de support client ou des communications sensibles avec des partenaires ou influenceurs, vous risquez de voir ces informations exposées ou exploitées à vos dépends.
Usurpation d’identité et escalade
Ayant accès à vos messages, le hacker peut usurper votre identité pour tenter de manipuler et pirater les personnes avec qui vous échangez. Votre image et votre relation avec ces personnes ainsi que leur sécurité seront donc impactées.
Si vous avez l’habitude d’échanger via la messagerie d’Instagram, les messages usurpant votre identité seront plus difficiles à identifier. Ces derniers seront éparpillés dans la liste des conversations avec vos contacts, les rendant moins détectables.
Publication non autorisée
Un autre risque important est la publication non consentie : un hacker ayant accès à votre compte peut publier en votre nom et toucher directement toute votre audience.
Si vous avez un budget publicité sur la plateforme, le pirate aura même la possibilité de booster la publication. Il pourra la promouvoir auprès d’une audience plus large, augmentant son exposition. Votre réputation peut être endommagée et donc fortement impacter votre business.
En 2013, Burger King s’est vu pirater son compte Twitter par des hackers soutenant le concurrent McDonald’s. Les pirates ont modifié la photo et la description du profil pour diffuser une fake news “l’achat de Burger King par McDonald’s à cause du flop du Whopper”.
Autre exemple, en 2015, un groupe de pirate informatique “CyberCaliphate” a piraté le compte Twitter du commandement central militaire américain pour publier un message “Soldats américains, nous arrivons, surveillez vos arrières, ISIS” avant que les Etats-Unis suspendent le compte.
Impact financier
Avec un budget publicité lié à la plateforme, l’impact est également financier. Le hacker aura la possibilité d’exploiter le compte annonceur et donc d’utiliser à de mauvaises fins votre trésorerie.
Il aura également accès à des informations de facturation utilisées pour la publicité et peut les utiliser contre vous après l’attaque. Le hacker aura ainsi plus de facilité à usurper votre identité.
Exemples de scénarios de phishing sur Instagram
Il existe de nombreux scénarios de phishing qui peuvent permettre le vol de comptes Instagram. En voici quatre, mais n’oubliez pas que les hackers sont créatifs et que de nouveaux prétextes sont conçus tous les jours.
L’alerte de sécurité
Exemple de notification de sécurité exploitable pour un scénario de phishing
Un scénario que nous exploitons souvent lors de nos simulations de phishing est l’alerte de sécurité. Lors de cette attaque, vous recevez un mail indiquant une nouvelle connexion à votre compte depuis “Android de Igor”, accompagné d’un lien pour vérifier la connexion. En imaginant que vous ne vous appelez pas Igor et que vous possédez un iPhone, le message est pour le moins perturbant. Le lien vous redirige sur une fausse page ressemblant exactement à la page de connexion d’Instagram pour voler vos identifiants.
L’alerte de violation de droits d’auteur
Avec ce scénario, l’individu piégé reçoit une notification de la part d’un faux centre d’aide d’Instagram. Elle indique une plainte pour violation de droit d’auteur et un risque de suppression du compte. Les hackers jouent sur plusieurs leviers psychologiques, dont l’urgence et la peur pour vous inciter à cliquer sur un lien menant à un formulaire de contact Instagram. Le but de ce formulaire est de récupérer des identifiants de connexion ainsi que des informations personnelles.
L'obtention du statut vérifié
Certains comptes Instagram ont un statut particulier, présentant un symbole lui conférant plus d'autorité et de légitimité sur le réseau. Ce sont les fameux badges vérifiés.
Les hackers n'hésitent pas a envoyer des emails de phishing qui demandent de vous connecter en prétextant la validation du statut vérifié de votre compte.
Exploitation via la messagerie instantanée
L'exploitation de la messagerie instantanée est un autre scénario de phishing sur Instagram. Le hacker vous contacte avec un compte créé pour l’occasion ou même à travers un compte utilisateur piraté.
L’objectif de cette attaque est d’éveiller votre curiosité pour vous faire cliquer sur un lien malveillant en vous annonçant par exemple un tirage au sort où vous remportez un prix intéressant. Le lien vous redirige ensuite vers un formulaire visant à récolter vos informations personnelles pour les exploiter par la suite. La messagerie n’est alors rien d’autre qu’un vecteur d’attaque différent du mail pour réaliser du phishing.
Mesures de protection contre le phishing sur Instagram
La première protection contre les attaques de vol d’identifiants est d’avoir une bonne stratégie de mot de passe. Celui-ci doit être :
- Unique afin de ne pas être compromis depuis un autre compte et ne pas compromettre d’autres comptes si celui-ci est volé par un hacker.
- Généré aléatoirement afin de ne pas pouvoir être deviné à partir d’informations récupérables publiquement.
- Complexe afin de ne pas pouvoir être attaqué par énumération des combinaisons possibles.
L’authentification à deux facteurs, aussi appelée 2FA ou MFA est une autre solution à activer qui complexifie l’attaque du hacker et en décourage plus d’un.
Activer l'authentification à deux facteurs est une mesure simple et efficace pour complexifier le travail du hacker.
Adoptez des procédures plus sécurisées, comme réduire l’échange d'informations confidentielles sur ces plateformes. Pour le support client par exemple, privilégiez l’usage de plateformes de support dédiées.
Enfin, il est important de se sensibiliser, s’acculturer à ce type d’attaque pour comprendre les techniques utilisées et créer des réflexes forts et durables permettant de vous en protéger. Prenez par exemple le temps de partager cet article aux personnes ayant accès à votre compte Instagram (service client, community managers, …).
Conclusion
Parce qu’Instagram est bien souvent une vitrine pour les entreprises, les impacts d’une attaque de phishing sont conséquents. Les hackers savent utiliser différents scénarios pour jouer sur divers leviers psychologiques afin de vous faire effectuer des actions compromettantes.
Limitez l’échange d’informations sensibles sur vos réseaux sociaux. Optez pour un mot de passe complexe, une authentification à deux facteurs ainsi qu’une sensibilisation théorique et surtout pratique dans votre entreprise pour vous permettre de créer de vrais réflexes et d’être mieux protéger face à ces menaces.