Les utilisateurs d’Instagram sont actuellement ciblés par une nouvelle campagne de phishing qui utilise faux e-mails d’assistance pour voler leurs identifiants.
Découvert pour la première fois par des chercheurs en sécurité de Armorbloxcette campagne commence par un e-mail dont l’objet est : « Nous avons remarqué une connexion inhabituelle, [user handle]. Comme d’autres attaques de phishing, il essaie d’instiller un sentiment d’urgence chez les victimes potentielles qui pourraient craindre que quelqu’un d’autre se soit connecté à leur compte Instagram.
Bien que l’e-mail semble provenir de l’équipe d’assistance d’Instagram à première vue, vous pouvez dire qu’il s’agit d’un faux car l’adresse e-mail est incorrecte. Ces e-mails de phishing proviennent de « [email protected] », mais la société utilise en fait l’e-mail « [email protected] » pour contacter les utilisateurs en cas de problème avec leur compte.
Cependant, de nombreux utilisateurs pourraient tomber dans le piège de cette arnaque, car les faux e-mails utilisés dans cette campagne contiennent leur identifiant d’utilisateur Instagram réel pour instaurer un sentiment de confiance.
Fausse page de destination Instagram
Si un utilisateur sans méfiance clique sur le lien « sécurisez votre compte ici » dans l’un de ces e-mails de phishing, il est alors redirigé vers une fausse page de destination conçue pour voler son mot de passe Instagram.
La fausse page de destination comprend à la fois la marque Instagram et des détails sur la tentative de connexion inhabituelle pour la rendre plus convaincante. Sous une carte montrant où la connexion a eu lieu, il y a deux boutons : « This Wasn’t Me » et « This Was Me ».
Les utilisateurs d’Instagram qui sont allés aussi loin cliqueront probablement sur « Ce n’était pas moi » car ils pensent que c’est la bonne chose à faire pour protéger leur compte. Cependant, cela les amène à une autre page qui apparaît comme un portail de réinitialisation de mot de passe où ils doivent entrer leur ancien mot de passe avec un nouveau.
Ce qui rend ces e-mails de phishing particulièrement inquiétants, c’est la façon dont ils ont pu contourner les protections de sécurité de Microsoft Exchange et sa passerelle de messagerie sécurisée. Ces faux e-mails ont également réussi les contrôles d’authentification des e-mails SPF et DMARC, ce qui montre que les cybercriminels responsables ont déployé beaucoup d’efforts pour que cette campagne de phishing paraisse légitime.
Comment se protéger des e-mails de phishing
Afin de rester à l’abri de cette campagne de phishing et d’autres similaires, vous devez toujours examiner attentivement tout e-mail qui atterrit dans votre boîte de réception avant de cliquer sur l’un des liens qu’il contient. Vous devez rechercher les fautes d’orthographe, de grammaire et de capitalisation et utiliser un moteur de recherche pour vous assurer que l’adresse e-mail correspond à l’e-mail d’assistance officiel de l’entreprise.
Dans le même temps, vous pouvez en fait consulter Instagram et d’autres plateformes de médias sociaux pour voir votre activité de connexion récente au lieu de prendre les e-mails urgents dans votre boîte de réception pour argent comptant. Cette pièce justificative (s’ouvre dans un nouvel onglet) explique que vous pouvez afficher votre activité de connexion récente à partir de l’application Instagram sur iOS et Android. Si vous ne voyez pas la tentative de connexion inhabituelle détaillée dans l’e-mail d’Instagram, vous savez que l’e-mail est en fait un faux.
Dans un article de blog (s’ouvre dans un nouvel onglet) détaillant ses conclusions, Armorblox vous recommande d’activer l’authentification multifacteur (AMF) pour votre Instagram et d’autres comptes de médias sociaux. De cette façon, un pirate aura besoin à la fois de votre mot de passe et de votre smartphone pour se connecter à votre compte. Armorblox met également en évidence les dangers de la réutilisation des mots de passe sur plusieurs comptes, car si des pirates accèdent à l’un d’entre eux, ils peuvent prendre le contrôle de vos autres comptes.
Avec Vendredi noir au coin de la rue, attendez-vous à voir encore plus d’e-mails de phishing dans votre boîte de réception. Cependant, si vous examinez attentivement ces faux e-mails et ne laissez pas vos émotions prendre le dessus sur vous, vos informations d’identification ne vous seront pas volées.