L'hameçonnage sur les réseaux sociaux est une cyberattaque qui exploite ces plateformes au lieu des e-mails. L'objectif reste identique : vous inciter à divulguer vos données personnelles ou à télécharger un fichier malveillant.
Les médias sociaux attirent les cybercriminels grâce à leur vaste audience et à l'environnement de confiance qui y règne. Ils y trouvent une abondance de données personnelles exploitables pour des attaques ciblées, comme le phishing de harpon.
Découvrez comment ces attaques se déroulent sur les plateformes les plus populaires.
Facebook est la troisième marque la plus usurpée dans les attaques de phishing, avec plus de 2,6 milliards d'utilisateurs mondiaux. La richesse des profils et messages offre aux hameçonneurs un terrain fertile pour l'ingénierie sociale.
Ces attaques visent principalement les particuliers plutôt que les grandes entreprises. Les cybercriminels se font passer pour Facebook et envoient des e-mails signalant une alerte sécurité, invitant à se connecter et modifier le mot de passe sur un faux site collectant les identifiants.
Une fois le compte compromis, les attaquants étendent leur réseau en ciblant vos contacts et en exploitant les données partagées pour des phishing plus précis.
Ils utilisent votre compte pour diffuser des messages ou statuts avec liens malveillants, profitant de la confiance de vos amis pour maximiser les clics.
Cette variante sophistiquée cible les utilisateurs qui critiquent publiquement un service. Les attaquants se font passer pour le support client et envoient un lien vers un faux site pour "résoudre" le problème, collectant ainsi les données.
Désormais plateforme majeure pour marques et influenceurs, Instagram est un terrain de jeu pour les hameçonneurs qui envoient des e-mails d'alerte sécurité (ex. : connexion suspecte) menant à de faux sites.
Accès obtenu, ils exploitent photos et messages privés pour du chantage, menaçant de les diffuser via Instagram Direct.
Sur comptes professionnels ou vérifiés, ils lancent des campagnes via DM. Exemple en juin 2020 : un compte chilien usurpé alertait d'une violation de droits d'auteur, liant vers un faux formulaire Instagram.
Les hameçonneurs promettent un badge vérifié via e-mail, redirigeant vers un site phishing. Influenceurs et comptes populaires sont prioritaires.
Consultez notre guide pour une vérification légitime sur Instagram et évitez ces pièges.
Plateforme de 700 millions de professionnels, LinkedIn inspire une forte confiance, rendant ses utilisateurs vulnérables aux phishing ciblés comme le harponnage ou la chasse à la baleine.
Ils contactent les chercheurs d'emploi via messagerie, proposant un poste idéal avec salaire attractif, liant vers un faux site ou joignant un fichier malveillant (Word/PDF avec macros).
CONNEXION : Comment bloquer quelqu'un sur LinkedIn
Deux types : e-mails avec lien phishing ou faux comptes envoyant des invitations. Acceptée, elle donne accès à votre réseau pour des attaques ultérieures, augmentant leur crédibilité.
Ne cliquez jamais sur les liens d'e-mails ou DM suspects. Vérifiez la source, même si elle semble fiable (compte piraté possible). Contactez la personne par un autre moyen, surtout pour pièces jointes.
Inspectez les URL : passez la souris pour vérifier. Les officiels n'utilisent pas @gmail ou @yahoo. Surveillez fautes d'orthographe, urgence ou panique artificielle.
Un compte compromis expose vos contacts. Une vigilance accrue et du bon sens suffisent à vous protéger efficacement.
