Hannah Shaw, mieux connue sous le nom de « Chaton Lady », enseigne aux gens comment prendre soin des chats nouveau-nés et a collecté plus d’un million de dollars pour les refuges et les sauvetages d’animaux. Sa page Facebook a gagné plus d’un million de followers depuis qu’elle a commencé à créer du contenu sur les chats, mais elle a presque tout perdu à cause d’un piratage d’ingénierie sociale qui a pris le contrôle de l’accès à son compte professionnel Meta.
«J’ai bâti cette communauté pendant plus d’une décennie. Penser que je pourrais le perdre était assez dévastateur », a déclaré Shaw.
Les influenceurs s’appuient sur des plateformes comme Facebook, Instagram et YouTube pour leurs revenus. Ces sites sont passés du statut de facilitateurs de projets parallèles à celui d’unique source de revenus pour certains créateurs de contenu. Cependant, les mauvais acteurs ont trouvé le moyen de prendre également une part de la pièce à ceux qui y gagnent honnêtement leur vie. Oui, les pirates informatiques de haut niveau ont tendance à rechercher des entités aux poches bien remplies, en les ciblant avec des attaques très complexes. Mais aujourd’hui, une grande partie de la cybercriminalité concerne les emplois d’ingénierie sociale, qui spolient des créateurs de niveau intermédiaire avec beaucoup moins de ressources qu’une entreprise multinationale, mais aussi beaucoup moins de savoir-faire technique.
Une créatrice qui s’appelle Hobby Bobbins – qui a gagné un culte dans son créneau de restauration de vêtements vintage – m’a expliqué comment tout cela lui est arrivé. L’attaque s’est produite presque exactement aux mêmes étapes qui ont conduit au rachat du compte de Shaw. Tout a commencé avec une demande d’interview d’un individu du nom de Rex Hall, qui prétendait être le manager de l’émission « Podcast and Chill with MacG ». Cela semble être un véritable podcast, même si personne du nom de Rex Hall ne semble y être publiquement associé. (Nous avons contacté les podcasteurs pour déterminer s’ils savaient que leur marque était utilisée pour perpétrer un projet d’ingénierie sociale et n’avons pas reçu de réponse.) « Podcast and Chill » est basé en Afrique du Sud et, selon sa biographie sur Twitter, son objectif est en partie de « documenter l’excellence noire ». Il ne se concentre pas spécifiquement sur les sujets abordés par Shaw ou Bobbins, comme le bien-être des animaux ou les vêtements vintage. Mais les influenceurs reçoivent constamment ces demandes, les animateurs du podcast avaient une empreinte numérique et « Rex » était en mesure de répondre à toutes les questions de Bobbins.
L’acteur malveillant a demandé à ses cibles de participer à un appel Zoom pour se préparer à l’entretien, notamment en créant Facebook Live pour générer des revenus. « Au début, tout semblait normal, la seule chose étrange était que son appareil photo n’était pas allumé. Mais même cela n’est pas trop étrange, beaucoup de gens ne veulent pas être filmés », a déclaré Shaw. Après un labyrinthe de va-et-vient sur les paramètres du backend, l’escroc conduit ses cibles vers un paramètre du backend appelé « ensembles de données ». Il s’agit d’une page obscure, souvent utilisée pour donner aux utilisateurs un accès administrateur à un compte professionnel. Mais les victimes pensaient que cela faisait partie de la configuration normale de Facebook Live, car il inclut des options de gestion d’événements.
Shaw et Bobbins ont repoussé la demande d’accès aux ensembles de données et ont désactivé le partage d’écran pour éviter d’en révéler trop. Mais les pirates ont quand même insisté pour qu’ils aident à la configuration, affirmant qu’ils avaient besoin de visualiser un lien apparemment inoffensif. Dans les ensembles de données, les créateurs ont généré une URL unique que les fraudeurs pouvaient utiliser pour accéder au compte. « Lorsqu’il a capturé cette URL directe, cela a essentiellement généré cette invitation par e-mail sans jamais avoir à accéder à ma messagerie sans même qu’il ait besoin de connaître un mot de passe ou quoi que ce soit », a déclaré Bobbins. « Tout ce qu’il avait à faire était de mettre le lien et d’accepter l’invitation, puis cela a automatiquement ajouté son propre Facebook personnel à ma page. »
Après avoir obtenu l’accès, « Rex » a pu devenir administrateur de la page. Avec ce pouvoir, ils pourraient supprimer la capacité de Bobbins à se connecter. Les tickets d’assistance avec Meta l’ont envoyée en rond pour essayer de récupérer son compte. Bobbins a perdu son moyen de communiquer avec ses 400 000 abonnés et les pirates ont supprimé des années de contenu auquel elle avait consacré sa carrière à créer.
Les escrocs ont nettoyé la page pour faire place à de faux liens menant à des sites remplis de publicités afin de générer des revenus faciles. Ils ont dressé une liste d’environ 100 mots bloqués afin que les abonnés ne puissent pas se signaler que le compte avait été piraté. « Tous ceux qui commenteraient ma page en disant « volé », « piraté », ou « arnaque » ou quoi que ce soit seraient automatiquement bloqués. Ainsi, aucun de mes autres abonnés n’a pu voir les personnes qui savaient que mon compte avait été piraté », a déclaré Bobbins. Elle a perdu un nombre indéterminé de vues et des ventes valant « des centaines de dollars » chaque jour où son compte avait été piraté.
Shaw et Bobbins sont tous deux allés demander de l’aide à Meta, mais cela n’a pas abouti. « Il n’y a aucun soutien pour un problème comme celui-ci avec Facebook », a déclaré Bobbins. La réinitialisation de son mot de passe n’a abouti à rien, car elle ne pouvait pas modifier les paramètres d’administration modifiés par les pirates. Lorsque Bobbins a finalement compris comment contacter le service d’assistance de Facebook avec un ticket d’assistance, celui-ci a été clôturé « presque instantanément » sans aucune aide reçue, a-t-elle déclaré. En réponse à nos questions sur ce vecteur d’attaque ou sur ce qu’ils font pour aider les créateurs à sécuriser leurs comptes, Meta a recommandé aux utilisateurs de mettre en œuvre une authentification multifacteur et de signaler tout problème à son centre d’assistance. Mais Shaw et Bottoms ont tous deux activé l’authentification à deux facteurs et leurs comptes ont toujours été repris. Meta a cependant introduit un meilleur service client en tant que fonctionnalité dans son package de vérification payant plus tôt cette année, une autre façon pour les plateformes de médias sociaux de facturer les fonctionnalités de sécurité.
Shaw a récupéré son compte environ 72 heures après l’attaque initiale en utilisant ses abonnés pour trouver une personne qui pourrait l’aider, mais Bobbins n’a pas eu autant de chance. Elle a toujours du mal à y accéder aujourd’hui, plus d’un mois après le piratage. Elle est brièvement revenue et a pu commencer à recharger manuellement son ancien contenu. Au-delà de cela, ceux qui ont accédé aux comptes ont modifié les autorisations de localisation, désactivé les capacités de messagerie, supprimé sa boutique de sa page, bloqué certains abonnés et lui ont retiré ses abonnés à 5 $ par mois. La toile de dégâts est devenue si répandue que Bobbins a créé une liste des empreintes laissées par l’attaquant pour aider les autres à annuler les modifications. Depuis le rachat du compte, Bobbins a eu du mal à conserver l’accès à son compte, avec des signaux inhabituels sur des violations apparemment injustifiées du droit d’auteur et d’autres problèmes qui l’ont expulsée.
« Il n’y a aucune mesure supplémentaire qui puisse être prise pour le moment pour protéger quelqu’un de ce que je viens de vivre », a déclaré Bobbins. La seule façon de prévenir un crime comme celui-ci est de faire passer le message, afin que d’autres ne tombent pas dans le piège de la même ingénierie sociale. C’est pourquoi Shaw aide à rassembler plus d’une douzaine d’autres victimes de la même arnaque afin de minimiser les dégâts et d’appeler à une plus grande sécurité des créateurs.
Pourtant, il n’y a pas de véritable solution sans que les plateformes ne créent des changements majeurs. Les plateformes devraient faire un meilleur travail pour enquêter rapidement sur les plaintes des abonnés, car à l’heure actuelle, il incombe aux propriétaires de pages de le comprendre, a déclaré Eva Velasquez, présidente et directrice générale du Identity Theft Resource Center. Bien qu’il existe de nombreuses procédures prescrites pour le vol d’identité traditionnel, comme le gel de votre crédit, il n’existe pas de pratiques bien définies pour le piratage de comptes sur les réseaux sociaux, car les créateurs sont à la merci de ces plateformes.
Si vous tombez sur ce qui semble être un piratage de compte en tant que suiveur, Velasquez recommande de contacter le créateur en dehors de cette plate-forme spécifique pour lui faire savoir qu’un piratage est en cours. Les victimes d’un piratage de compte peuvent également alerter le Centre de plaintes contre les crimes sur Internet de l’incident, mais elles ne peuvent pas faire grand-chose d’autre. Ou bien, les créateurs peuvent éviter complètement d’utiliser la plateforme. « Pour le moment, je ne recommande à personne d’accepter les interviews en direct sur Facebook », a déclaré Shaw.
Cet article contient des liens d’affiliation ; si vous cliquez sur un tel lien et effectuez un achat, nous pouvons gagner une commission.