Comptes Instagram piratés grâce à de fausses notifications de violation du droit d’auteur

27 Mar 2019

Vous avez quelques milliers d’abonnés sur Instagram ? Plus ? Félicitations, vous êtes célèbre sur Instagram. Être un influenceur sur Instagram signifie, entre autres, que votre compte pourrait intéressé les voleurs. Une nouvelle méthode d’hameçonnage qui vise les comptes Instagram populaires prend de l’ampleur. Voici comment elle fonctionne.

Les escrocs envoient des e-mails d'hameçonnage contenant de fausses notifications de violation du droit d'auteur afin de pirater certains comptes Instagram connus

 

Vous avez reçu une notification de violation du droit d’auteur

« Votre compte sera définitivement supprimé pour violation du droit d’auteur » : voilà ce que vous communique cette notification que vous avez reçue par e-mail et qui semble parfaitement officielle. On y retrouve l’en-tête et le logo habituel d’Instagram, et l’adresse e-mail qui figure dans le champ « De » ressemble beaucoup à une adresse légitime : il s’agit généralement de mail@theinstagram.team ou de info@theinstagram.team.

L’e-mail indique que vous ne disposez que de 24 heures (parfois 48 heures) pour faire appel, et affiche un bouton « Examiner la plainte ». Si vous cliquez sur ce bouton, vous ouvrez alors une page d’hameçonnage plutôt convaincante. Les fraudeurs y ont publié une image, qui dit qu’ils prennent la protection du droit d’auteur très au sérieux, et vous propose de suivre un lien pour « Faire appel ». Pour que l’arnaque semble encore plus légitime, ils vous proposent de choisir votre langue parmi une longue liste, même s’il s’avère que cette option ne fonctionne pas. Peu importe la langue que vous choisissez, la page d’hameçonnage reste en anglais.

Capture d'écran d'un e-mail d'hameçonnage contenant une fausse notification de violation du droit d'auteur sur Instagram

Capture d’écran d’un e-mail d’hameçonnage contenant une fausse notification de violation du droit d’auteur sur Instagram

 

Juste après que vous ayez cliqué sur le lien permettant de « Faire appel », on vous demande de saisir vos identifiants Instagram. Vous n’êtes pas au bout de vos peines ! Un autre message apparaît immédiatement : « Nous devons vérifier vos dires et voir si votre adresse e-mail correspond à celle de votre compte Instagram ». Cliquez sur « Vérifier mon adresse e-mail » et une liste de fournisseurs d’e-mail s’affiche. Si vous sélectionnez le vôtre, vous devrez alors communiquer votre adresse e-mail et le mot de passe de votre compte. Surprise !

Vous allez alors voir pendant quelques secondes un message disant que « Votre demande sera examinée ». Vous serez ensuite redirigé vers le vrai site Instagram ; une astuce simple qui ajoute une certaine crédibilité à l’arnaque.

Ce n’est pas la première fois que les escrocs prennent les influenceurs Instagram pour cible. La première vague d’hameçonnage cherchait à convaincre les utilisateurs de faire une demande pour obtenir le badge bleu certifié.

Comment protéger votre compte Instagram

Dès que les escrocs reçoivent vos données, ils peuvent contrôler votre profil Instagram et modifier les informations dont vous avez besoin pour pouvoir le récupérer. À partir de là, ils peuvent vous demander de payer une rançon pour que vous récupériez votre compte, ou diffuser des spams et tout autre contenu malveillant en utilisant votre compte piraté, sans parler de ce qui pourrait arriver si vous communiquez également le mot de passe de votre adresse e-mail aux escrocs.

Quelques conseils à suivre pour protéger votre compte Instagram :

  • Ne cliquez pas sur les liens suspects.
  • Vérifiez toujours l’URL du site Internet dans la barre d’adresse. Si au lieu d’Instagram.com vous voyez une adresse comme 1stogram.com ou instagram.security-settings.com alors abandonnez rapidement la page et ne saisissez pas vos informations personnelles.
  • Utilisez l’application officielle d’Instagram disponible dans les boutiques officielles comme Google Play pour Android, ou App Store pour iOS.
  • Ne saisissez jamais vos identifiants de connexion sur des services et applications tiers.
  • Autorisez l’authentification à deux facteurs sur Instagram et pour votre adresse e-mail.
  • Installez une solution de sécurité fiable qui filtre et élimine les messages douteux, et bloque les pages d’hameçonnage. Kaspersky Internet Security s’en occupe pour vous.