Des hackers font croire aux utilisateurs d’Instagram à la possibilité d’obtenir un compte certifié en remplissant un faux formulaire. But de l’opération: récupérer leurs données personnelles.
Plus de 2000 courriels envoyés chaque jour. Une importante campagne d’hameçonnage par mail, menée par des pirates informatiques à destination des utilisateurs français d’Instagram, a été mise au jour révèle, jeudi 25 août, le site spécialisé Numerama. Leur but: faire croire aux victimes qu’ils vont pouvoir obtenir un compte certifié.
Dénoncée par Vade, une entreprise de cybersécurité, cette opération, en cours depuis la fin du mois de juillet 2022, vise à s’emparer des données personnelles (identifiant de connexion, numéro de carte de crédit, mot de passe…) des utilisateurs du réseau social qui auraient l’imprudence de répondre au formulaire envoyé par les hackers.
Ces mails exploitent le fait que beaucoup d’instragrammeurs souhaitent obtenir la certification de leur compte, un symbole de succès représenté par l’apparition d’une pastille bleue à droite du nom d’utilisateur. Ainsi, les mails frauduleux indiquent au destinataire que son compte a fait l’objet d’un examen de la part d’Instagram et qu’il est désormais éligible à la fameuse certification.
Le compte certifié: une demande individuelle
Pour séduire ses cibles, le message invite à cliquer sur un lien, donner ses identifiants et enfin remplir un formulaire qui requiert de renseigner nom, adresse mail, numéro de téléphone et mot de passe. Une fois l’opération effectuée, un message l’informe que son profil est désormais vérifié et qu’Instagram prendra contact avec lui dans les 48 heures. Ce qui n’arrive jamais. Entre temps, les données récupérées peuvent potentiellement être revendues ou encore être réutilisées pour accéder à d’autres sites internet.
Il est relativement aisé de se laisser abuser: pour tromper au mieux la vigilance de leurs victimes, les hackers imitent à la perfection l’identité graphique d’Instagram, laissant croire aux plus crédules qu’il s’agit bien d’un courriel expédié par la plateforme détenue par Meta.
Pour éviter de tomber dans le piège, il est néanmoins important de savoir que le réseau social n’envoie jamais de courrier électronique dont l’objet est une demande de certification tant qu’un utilisateur ne l’a pas demandé. Et ce même si le compte en question dénombre plusieurs milliers d’abonnés. Par ailleurs, il est assez difficile d’obtenir le précieux badge bleu à moins d’être une personnalité connue ou une entreprise avec un volume conséquent d’abonnés.