Des influenceurs mais aussi leurs managers, des consultants pour des marques et des studios de production ont été visés.
Plus de 125 comptes importants visés
Les chercheurs d'Abnormal Security ont observé une campagne de phishing visant les comptes importants sur TikTok. Elle n'est pas continue comme peuvent l'être certaines mais concentre son activité sur des jours en particulier, ici le 2 octobre 2021 et le 1er novembre 2021, ce qui laisse penser qu'elle se reproduira dans quelques jours. Plus de 125 comptes ont été visés dans cette campagne, appartenant à des influenceurs, à des agences de talents, des firmes de consultants pour des marques mais aussi des studios de production.
Pour réaliser leur scam, les attaquants ont envoyé des mails en se faisant passer pour TikTok, dans lesquels ils écrivaient que les comptes de leurs victimes seraient supprimés dans 48 heures à cause d'une violation de copyright. D'autres indiquaient que les victimes étaient éligibles à un badge de vérification. Dans les deux cas, il leur était demandé de vérifier leur compte en répondant au mail.
Une fois la réponse envoyée, les victimes recevaient un lien. S'il était cliqué, elles étaient redirigées vers une discussion WhatsApp, où l'un des scammers se faisait passer pour un employé de TikTok. Il leur demandait des informations nécessaires pour obtenir un accès à leur compte, comme leur adresse mail et leur numéro de téléphone. Il demandait aussi aux victimes de fournir le code de vérification à 6 chiffres envoyé sur leur appareil, permettant aux attaquants de passer outre l'authentification multi-facteurs.
Une campagne dont le but reste indéterminé
Malgré plusieurs erreurs de grammaire dans les mails trahissant l'arnaque, des utilisateurs peuvent être piégés par peur de perdre leur compte ou en étant attirés par la possibilité d'être vérifiés sur la plateforme. De plus, l'utilisation d'un lien menant vers une conversation WhatsApp au lieu de se contenter de créer un site de phishing montre que les attaquants essaient de nouvelles tactiques pour espérer passer outre l'authentification multi-facteurs.
Les chercheurs n'ont pas réussi à déterminer quel était le but final de cette campagne. Dans la plupart des cas, les acteurs malveillants essaient soit de revendre le compte, soit de demander une rançon à son propriétaire, en menaçant de le faire bannir si elle n'est pas payée. Sur la plupart des réseaux sociaux, il n'est pas possible de récupérer un compte banni, ce qui rend la tactique très efficace quand elle est utilisée contre des créateurs et créatrices de contenus.
Pour protéger vos comptes sur les réseaux sociaux, il est conseillé d'activer l'authentification multi-facteurs et de ne communiquer ni votre code personnel, ni les éléments liés à votre compte.
Alors que les attaques informatiques se multiplient, un grand nombre de personnes négligent encore la sécurisation lors de l’authentification. Ainsi, selon une récente étude menée pour IBM, plus d’une personne sur huit affirme réutiliser les mêmes mots de passe et informations d’identification. Environ une sur trois notent leurs informations sur un papier.
Lire la suite
Sources : BleepingComputer, Abnormal Security
Arrivée dans la rédaction par le jeu vidéo, c’est par passion pour le développement web que je me suis intéressée plus largement à tout ce qui gravite autour de notre consommation des outils numériques, des problématiques de vie privée au logiciel libre en passant par la sécurité. Fan inconditionnelle de science-fiction toujours prête à expliquer pendant des heures pourquoi Babylon 5 est ma série préférée.
Lire d'autres articles
