Piratage Twitter : Le commentaire de KASPERSKY

0

iT-News (Piratage Twitter) – Hier soir, de nombreux comptes utilisateurs de Twitter, notamment de personnalités et grandes entreprises, ont été détournés à des fins d’escroquerie, entrainant le vol de plus de 100 000 euros en bitcoins. Dans ce qui s’apparente au plus gros détournement de l’histoire du réseau social, Twitter a réagi et semblait avoir identifié l’origine du piratage : une attaque par ingénierie sociale contre ses services, selon toute vraisemblance.

Cette escroquerie majeure souligne le fait que nous vivons à une époque où même les personnes ayant des compétences informatiques peuvent être attirées dans le piège des escrocs, et où même les comptes supposés les plus sécurisés peuvent être détournés. Selon nos estimations, en deux heures seulement, au moins 367 utilisateurs ont transféré environ 120 000 dollars au total aux escrocs. La cybersécurité est sans aucun doute l’une des principales priorités de toutes les grandes plateformes de médias sociaux, qui s’efforcent de prévenir de nombreuses attaques chaque jour. Cependant, aucun site web ou logiciel n’est invulnérable, et l’humain n’est jamais à l’abri d’erreurs. Par conséquent, toute plateforme peut être compromise. Aujourd’hui, nous voyons comment les escroqueries exploitent des techniques éprouvées et efficaces, pour utiliser un élément de surprise et gagner la confiance des gens, afin de faciliter l’attaque et d’attirer les victimes dans un piège.

Par exemple, il peut s’agir d’un mélange d’attaques de la chaîne d’approvisionnement et d’ingénierie sociale. Cependant, les auteurs de l’attaque peuvent également accéder au compte de la victime par d’autres moyens : par exemple, ils peuvent pénétrer dans une application tierce ayant accès au profil de l’utilisateur, ou le mot de passe de l’utilisateur peut être obtenu par la force.

« Inutile de paniquer, il s’agit simplement d’adopter l’état d’esprit adéquat : les utilisateurs de comptes de médias sociaux doivent faire preuve de responsabilité – en particulier lorsqu’ils sont des personnalités publiques – et ont besoin d’une protection approfondie, mais ce type d’attaque n’est pas irrémédiable. Cet incident souligne une nouvelle fois que les utilisateurs doivent réévaluer leur approche d’usage des médias sociaux, et prendre conscience du haut besoin de sécurité pour leurs comptes, comme pour tout autre élément de leur vie numérique. Une fois ceci considéré, il est plus naturel d’acquérir les connaissances et instruments nécessaires à reconnaître même l’escroquerie la plus élaborée, ou à en minimiser l’effet », – a déclaré Pierre Delcher, expert en cybersécurité chez Kaspersky.

Pour reconnaître une escroquerie dans les médias sociaux, gardez à l’esprit ce qui suit :

– Un des éléments les plus symptomatiques des tentatives d’escroquerie est le caractère d’urgence. Non seulement il dissuade la victime de procéder à un contrôle approfondi du contexte, mais il ajoute une certaine pression psychologique sur l’utilisateur, qui l’encourage à négliger plus facilement certains détails. Poussées par la peur de rater une grande occasion, même les personnes les plus prudentes peuvent être séduites par le risque, et tomber dans le piège des agresseurs.

– Dans ce cas, l’escroquerie a également été soigneusement adaptée à la personnalité du propriétaire ou au ton de voix du compte détourné, ce qui lui a donné une apparence de légitimité. Les criminels peuvent même aller plus loin et illustrer l’escroquerie avec une charte graphique d’apparence authentique, ou utiliser des contrefaçons. Il faut toujours garder à l’esprit que les campagnes officielles, ou même les initiatives individuelles d’une telle ampleur, sont toujours accompagnées de documents prescriptifs pour soutenir l’offre promotionnelle (même la plus brève), placés en dehors des médias sociaux. De plus, le contexte financier est généralement plus transparent et n’est pas lié à des portefeuilles privés de bitcoins.

– Il est fort peu probable qu’une entreprise officielle ou un particulier établi vous demande de transférer de l’argent, voire de le lui rendre plus tard, même à titre de plaisanterie, en raison d’éventuels conséquences liées aux impôts et aux rapports financiers.

Pour maximiser la protection de votre compte dans les médias sociaux :

– S’il est absolument essentiel d’avoir un mot de passe solide, il doit également être unique au compte protégé. Si un autre de vos comptes est compromis, il n’y a alors pas de conséquence pour tous vos comptes. Pour créer un mot de passe sûr et robuste pour chaque site web, utilisez des techniques de mémorisation ou un gestionnaire de mots de passe.

– Utilisez une authentification à deux facteurs lorsque c’est proposé (le login et le mot de passe doivent alors être complétés par un autre élément). Idéalement, utilisez alors une application qui génère des codes temporaires (OTP) plutôt que des codes reçus par SMS. Une autre solution consiste à utiliser un élément physique, tel un jeton de sécurité connecté en USB, ou via NFC.

– Une autre mesure de sécurité qui doit être prise est l’examen approfondi et régulier des applications qui ont accès aux comptes de réseaux sociaux. Elles se trouvent dans les paramètres du compte. Nous vous recommandons de révoquer l’accès de toutes les applications inutilisées, inconnues ou dont le niveau de sécurité n’est pas considéré suffisant, de sorte qu’en cas d’attaque de ces dernières, votre compte ne puisse pas être atteint.

– Les comptes de réseaux sociaux de personnalités ou entreprises peuvent être utilisés ou maintenus par plusieurs individus. De tels comptes doivent alors être régulièrement l’objet d’une revue, et les accès inutiles ou obsolètes doivent être révoqués : les mots de passe d’accès aux comptes doivent notamment être renouvelés en cas de départ ou de changement dans l’équipe animant les réseaux sociaux.

– Utilisez le « Privacy Checker » pour vous aider à rendre vos profils de médias sociaux plus privés. Il sera plus difficile pour les tiers de trouver des informations très personnelles.

Nos experts sont disponibles pour répondre à vos questions concernant cette escroquerie, mais également de manière générale concernant les risques, et mesures de protection des comptes utilisateurs en ligne.