Connaissez-vous bien votre réseau social ? Il y a de fortes chances que vous n’ayez pas fréquenté l’école du dimanche avec toutes les personnes avec lesquelles vous vous êtes lié d’amitié au fil des ans, et il y a souvent quelques personnes que vous n’êtes pas tout à fait sûr d’avoir jamais rencontrées. Mais avec la façon dont nos identités en ligne sont de plus en plus liées, il suffit d’un ami moins que discriminant dans votre cercle pour qu’un pirate accède à votre vie en ligne et la détruise.
En obtenant des informations personnelles à partir de votre compte, de simples détails comme votre anniversaire, votre numéro de téléphone ou vos informations géographiques, les pirates peuvent souvent déverrouiller les fonctionnalités de « récupération de compte » d’autres comptes en ligne, commençant ainsi l’échelle d’accès aux informations de votre carte de crédit, compte bancaire et des hordes d’autres identités en ligne. Malheureusement, c’est aussi simple que ça en a l’air.
Dans le jeu télévisé populaire Le maillon faible, le plus gros briseur de liens a été expulsé de la série et a publiquement dû faire une longue marche depuis la courte jetée de la honte. Mais lorsqu’il s’agit de réseaux sociaux, le maillon le plus faible – votre tante Thelma qui utilise encore Windows 98 ? – peut n’être que la passerelle dont ces criminels ont besoin, et très probablement ne saura même pas qu’elle est jouée par un pro.
Pendant des années, les gens ont supposé que la sécurité en ligne n’était nécessaire que pour les sites les plus sécurisés, les institutions financières et les agences gouvernementales où directement monétisable les actifs n’étaient qu’à un clic. Récemment, cependant, nous avons vu une multitude de cybercriminels prêts à investir dans le longue con: attaques en plusieurs étapes pour acquérir des données personnelles qu’ils exploitent ensuite pour des crimes plus pernicieux plus tard. Ces pirates de l’air en ligne « hameçonnent » pour obtenir des données personnelles qu’ils peuvent ensuite utiliser pour ajouter de la crédibilité à leurs attaques de second niveau. À ce stade de l’évolution d’Internet, vous n’êtes peut-être pas assez fou pour envoyer des informations sensibles à un riche prince nigérian ou à une banque avec un identifiant Hotmail, mais que se passe-t-il si la demande semble provenir de votre collègue Charlie, qui ne fait que regarder remplir une « feuille de calcul d’entreprise » ? Ou votre conjoint, qui veut que vous cliquiez sur un lien vers des « photos de fête » ? Lorsque ces messages sont personnalisés avec quelques détails raisonnables, les taux d’efficacité peuvent exploser !
Alors, comment ces escrocs virtuels obtiennent-ils les détails de votre compte personnel ? En s’attaquant aux vulnérabilités des réseaux sociaux beaucoup moins protégés, des jeux en ligne, etc. Ces sites, dont beaucoup pouvaient auparavant considérer la sécurité des comptes comme un avantage, voient un pic de deux formes d’attaque : les pirates enregistrant des comptes frauduleux expressément dans le but de piéger des utilisateurs innocents, et les criminels prenant le contrôle de comptes existants et légitimes. . Même les réseaux sociaux les plus propres connaissent un taux d’inscription frauduleux d’au moins 5 %, et Facebook, le grand-père de tous, admet plus de 8 % de faux comptes sur son réseau, soit 80 millions de comptes dans le monde.
À partir de comptes fraîchement créés, les pirates commencent par envoyer des demandes d’amis aux utilisateurs légitimes. Lorsque le premier utilisateur accepte la demande, les pirates accèdent immédiatement à une multitude d' »informations personnelles identifiables » (ou PII) des amis de cet utilisateur : dates de naissance, numéros de téléphone, adresses e-mail, etc. – en d’autres termes, des informations que beaucoup les utilisateurs pourraient naïvement penser qu’il s’agit d’un fourrage de profil public standard, indigne d’une sécurité supplémentaire.
Mais le profil standard d’un utilisateur est de l’or virtuel pour un pirate informatique. Une étude de l’Université de la Colombie-Britannique a analysé comment les cybercriminels pourraient utiliser quelques détails personnels pour construire un réseau entier conçu spécifiquement pour voler des PII et les utiliser à des fins étonnamment dévastatrices. Pour cette étude particulière, une équipe d’étudiants a construit un « bot social » avec 102 profils Facebook pour voir à quelle vitesse et à quelle profondeur le bot pouvait pénétrer un groupe d’utilisateurs aléatoires de Facebook et capturer des informations sensibles. Les résultats de la campagne de huit semaines sont les suivants :
- Le socialbot a construit un réseau social étendu d’un million de personnes, attirant avec succès 3 055 personnes sur un total de 8 570 invitations envoyées – un taux d’acceptation époustouflant de 35 %.
- Une fois que le socialbot s’est fait des amis, il a à son tour ciblé les amis de ces amis. Au fur et à mesure que le réseau du bot grandissait, son taux d’acceptation d’amis augmentait également – c’est-à-dire que, à mesure que son groupe d’amis s’agrandissait, le solide cercle d’amis du bot le rendait plus digne de confiance et donc plus « convivial ».
- Le bot a collecté 250 Go de données personnelles, dont 35 % de toutes les informations personnellement identifiables trouvées sur les pages d’amis et 24 % sur les réseaux étendus d’amis d’amis.
Ces découvertes sont à la fois étonnantes et décourageantes. Il est particulièrement déconcertant que même si vous êtes discriminatoire lorsque vous acceptez des demandes d’amis, il suffit qu’un de vos amis se trompe – le maillon le plus faible mentionné ci-dessus – et toutes vos informations pourraient être entre les mains de cybercriminels.
Si une douzaine d’étudiants universitaires réalisant un projet parallèle peuvent compiler ces informations très sensibles, pensez à ce que des cybercriminels sophistiqués pourraient accomplir. Et, si l’un des sites sociaux les plus importants et les plus fiables est aussi vulnérable au piratage de comptes et à l’exploration de données personnelles, l’infiltration malveillante de comptes frauduleux peut arriver à n’importe quel site, à n’importe quelle échelle, à n’importe qui. Il suffit de demander à Mat Honan du magazine Wired, qui a récemment écrit un article intitulé « Kill the Password » après avoir été victime d’une cyberattaque ultra-rapide. Dans le cas de Honan, les pirates ont utilisé des informations glanées sur le compte Amazon de Honan pour supprimer son compte Google, puis ont sauté sur son identifiant Apple pour effacer à distance toutes les données de son iPad, iPhone et MacBook, et ont finalement pris le contrôle de son identifiant Twitter, qu’ils utilisé comme porte-parole pour cracher des épithètes raciales aux plus de 20 000 adeptes de Honan. Il a fallu 10 minutes aux pirates et un simple appel à AppleCare demandant une réinitialisation du mot de passe pour détruire la vie numérique de Honan.
Pourtant, un problème encore plus pernicieux est la question de la prise de contrôle de compte, par laquelle les pirates pénètrent dans votre compte existant, héritant ainsi de votre liste d’amis et détruisant potentiellement votre réputation dans le processus. Inutile pour le pirate de télécharger des photos, de créer des publications sur la chronologie ou de duper les gens pour qu’ils deviennent des « amis » pour établir leur crédibilité – vous avez déjà fait tout le gros du travail. De plus, les vrais profils ont déjà des tonnes de PII à voler. Effectuez une simple recherche sur « Facebook piraté » ou « Compte Facebook volé » et vous commencerez à voir l’ampleur de ce problème.
Comment un tel piratage de compte a-t-il lieu ? A travers trois méthodes principales :
• Hameçonnage (c’est-à-dire une méthode pour inciter les gens à divulguer des informations sensibles via des communications électroniques) et son astucieux cousin hameçonnage (c’est-à-dire les tentatives de phishing dirigées contre des individus et des entreprises spécifiques). Le Web social regorge de messages courts et innocents pour « cliquer ici pour plus d’informations », et si l’une de ces pages vous dirige d’abord vers ce qui ressemble à une page de connexion Twitter ? Qui serait plus sage ?
• Logiciels malveillants qui vole les informations d’identification d’un utilisateur. Logiciels malveillants est court pour logiciel malveillant, programmes invisibles utilisés par les pirates pour perturber les opérations informatiques, collecter des informations sensibles ou accéder directement aux systèmes informatiques. Je vous regarde, New York Times.
• Vulnérabilités dans le site Web lui-même. Si vous connaissez votre langage technique, les termes comme XSS, CSRF et l’injection SQL ne sonneront pas seulement comme de superbes tirages au Scrabble. En utilisant ces méthodes pour exploiter les vulnérabilités des protocoles Internet courants, les pirates s’attaquent eux-mêmes aux serveurs Web, aux bases de données et aux applications. En d’autres termes, au lieu de simplement crocheter une serrure avec votre mot de passe, les cybercriminels utilisent la cyber-dynamite pour percer un trou dans le mur du site.
Une fois que les cybercriminels ont accès à un compte, que peuvent-ils faire ?
- Distribuez leur message tordu à votre liste d’amis, quelle qu’elle soit (le discours de haine semble être à la mode, tout comme ces fausses pages de phishing); utiliser PII pour pirater votre compte bancaire et transférer vos économies ; voler directement vos documents top-secrets
- Acquérir plus d’amis (puis passer à l’étape 1)
- Acquérir l’accès à plus de comptes (passez ensuite à l’étape 1 ou 2)
- Faire mousser, rincer, répéter.
Alors maintenant que vous savez à quel point tout cela est facile, vous savez également pourquoi il est essentiel que les sites agissent avant de créer davantage de victimes. Comme le dit le proverbe, une once de prévention vaut mieux que guérir.
Mais ne vous contentez pas de nous croire sur parole. Regardez Mat Honan de Wired, qui couvre la technologie pour gagner sa vie. Honan a utilisé un générateur de mots de passe aléatoires sécurisé avec un « cryptage de niveau militaire » pour ses comptes, mais à la fin les pirates se sont faufilés en exploitant des défaillances endémiques à ces soi-disant systèmes de sécurité. Si vous considérez ces indirectutilise les données de tous les réseaux sociaux et portails en ligne – LinkedIn, Twitter, Dropbox, Skype et le gazillion d’autres sites sociaux qui se reproduisent comme des saumons partout où nous regardons – vous voyez une myriade de raisons pour lesquelles les escrocs de longue date ciblent désormais des comptes sur des sites de tous types . À mesure que de plus en plus d’informations migrent vers le cloud, plus chaque site Web devient précieux. Pour les utilisateurs, cela signifie faire attention non seulement à ce que vous stockez en ligne, mais aussi à la manière dont les sites protègent vos informations ; ce n’est pas seulement votre mot de passe bancaire auquel vous devez faire attention. Et pour les personnes qui exploitent ces sites, qui pensaient auparavant « nous ne sommes qu’un réseau social ; qui voudraient pirater nos comptes », malheureusement, nous sommes entrés dans une nouvelle réalité là-bas, où personne n’est en sécurité.
Comme toujours, soyez prêt : ce n’est plus seulement pour les Boy Scouts.
