Episode 162 : Instagram est devenu le réseau social de prédilection du marketing d’influence. Mais il semblerait que la plateforme ait du mal à trouver une solution à un problème qui vise directement certains influenceurs : le hack de compte instagram !
Depuis 2018, on constate une tendance émergente avec l’apparition de pirates informatiques qui prennent le contrôle de comptes d’influenceurs Instagram et les tiennent en rançon.
«Votre Instagram a été piraté».
Si la victime ne paie pas une rançon Bitcoin, «nous devrons supprimer votre compte dans les 3 heures», poursuit le message des pirates.
La mésaventure de Camille @loiseaurose
https://oiseaurose.com/2018/01/16/compte-instagram-pirate/
Les techniques de hacking
La méthode de hack la plus classique : le fishing
Bien souvent t la faille de sécurité vient des influenceurs eux même.
Les pirates se présentent comme une marque intéressée à parrainer l’influenceur en leur payant des contributions ou en leur envoyant des marchandises en échange de publicité.
Chaque e-mail contenait un lien de phishing convaincant, qui semblait aller au vrai compte Instagram de l'expéditeur. Au lieu de cela, il a dirigé la victime vers une fausse page de connexion Instagram, qui a ensuite envoyé le mot de passe de la victime au pirate informatique.
Le pirate informatique modifie ensuite le mot de passe et l'adresse électronique, ce qui verrouille le propriétaire. Ils contactent ensuite la victime et réclament un montant relativement faible en matière d'extorsion. +/- 300 $ en bitcoin.
Le géant de la sécurité informatique Kaspersky a enregistré, en 2018, plus de 100.000 tentatives de redirection vers des pages de phishing utilisant la marque Instagram.
Autre méthode de base : le credential stuffing
Le credential stuffing est une technique, utilisée par des cybercriminels, consistant à récupérer les mots de passe émanant d’une violation de données d’une société A pour se connecter à une application web de la société B.
Une telle technique suppose que le m^me mot de Asse soit utilisé en divers endroits.
Une autre méthode encore plus vicieuse : le hack de carte sim
Parmi les victimes, un certain nombre a vu son compte piraté en dépit du fait qu’elles avaient activé l’authentification à double facteur.
Rappelons le principe au moment où vous vous connecter, Instagram vous envoi un code sur votre téléphone.
Mais il se trouve que des pirates informatiques ont trouvé le moyen de détourner des numéros de téléphone pour prendre possession de comptes de services web, notamment Instagram ou Twitter, afin de les revendre au marché noir.
En juillet 2018, Instagram a retravaillé son système de double authentification pour proposer, une alternative qui ne nécessite pas d’avoir recours à un SMS pour accéder de façon sécurisée à son compte.
Instagram ne répond pas souvent
Que fait Instagram pour tenter de régler la question ? Apparemment, pas grand chose. Il existe bien une procédure pour récupérer son compte mais elle ne semble pas très efficace. Les victimes affirment que les réponses tardent à arriver, et que le service ne fournit que des réponses automatisées.
Quand Instagram répond voilà la procédure
«Nous savons que perdre l'accès à votre compte peut être une expérience pénible. Nous avons mis en place des mesures sophistiquées pour arrêter les mauvais acteurs avant d'avoir accès aux comptes, ainsi que des mesures pour aider les personnes à récupérer leurs comptes »
Lorsque le compte Instagram d'une personne est piraté, le site de réseau social fournit un mécanisme permettant à ces personnes de récupérer leur compte. Instagram appelle ce code «selfie + code»: il demande à l'utilisateur d'envoyer une photo de son visage avec un code envoyé par Instagram, écrit sur un morceau de papier blanc (et les deux mains visibles).
Les employés d’Instagram recherche des «indicateurs primaires de correspondance des visages» entre l’image envoyée et les photos Instagram déjà postées. Ces indicateurs incluent, par exemple, le