Le coup de phishing est de plus en plus élaboré : les contrefacteurs cherchent constamment de nouveaux moyens de tromper leurs cibles et de collecter des données sensibles, et le plus récent encore, qui devient très courant, est l’attaque par YouTube, visant les abonnés des chaînes populaires et la fonction de messagerie directe.
Sommaire
Comment fonctionne l’arnaque de phishing sur YouTube
Qu’est-ce que le phishing ?
Récapitulons d’abord : l’escroquerie de phishing est celle où les pirates utilisent des sites web, des e-mails, des applications ou des services falsifiés pour pour tromper l’utilisateur, en passant par les entités réelles, afin de collecter des données et des informations personnelles et bancaires extrêmement sensibles. Il s’agit notamment des numéros de cartes de crédit et des mots de passe, des numéros de comptes bancaires et des mots de passe, des numéros d’identification, du FCP et d’autres documents, etc.
Il existe plusieurs modalités, la plus courante est le a spear phishing : une attaque contre des personnes ou des entreprises, par e-mail, apparemment de source fiable, qui envoie l’utilisateur sur un site apparemment authentique, mais faux, qui demande des données sensibles.
L’attaque de YouTube est un autre type de harponnage : selon Kaspersky Security, la méthode consiste en un hacker, qui a créé un compte émulant celui d’une grande chaîne (avec le même nom, avatar et identité visuelle, ce qui pose encore des difficultés à YouTube), envoyant un message direct à un abonné de la chaîne copiée, qui compte des milliers ou des millions d’abonnés.
Dans ce message, l’attaquant passe devant YouTuber en félicitant la cible pour sa participation à la chaîne. Le message continue, avec “YouTuber” demandant à l’abonné de participer à une tombola, ou l’informant qu’il recevra un toast grâce à leur soutien, et envoyant des liens vers des sites supposés légitimes auxquels l’utilisateur peut accéder.
C’est là que l’escroquerie prend forme : les pages, bien qu’elles semblent légitimes, sont des répliques conçues pour recueillir des informations sensibles auprès des visiteurs, telles que les coordonnées et les informations personnelles (dans certains cas également bancaires). Il demande ensuite à l’utilisateur de confirmer son identité par des tests, qui prouvent que “vous n’êtes pas un robot”, ce qui génère également de l’argent pour les pirates, par la méthode de sens de circulation.
Le fonctionnement est le suivant : vous entrez dans un site de vérification, qui vous envoie à un deuxième, qui vous envoie à un troisième, qui ouvre un quatrième, et ainsi de suite. Et chaque nouvel accès rapporte de l’argent aux hackers grâce à la publicité. Et à chaque nouvelle page ouverte, vous êtes exposé à divers parasites, tels que les malwares les plus poilus.
Au final, l’escroquerie fait d’une pierre trois coups : le pirate parvient à collecter des données sensibles auprès de l’utilisateur, gagne de l’argent grâce à un accès ciblé et ouvre même le PC de la victime à d’autres attaques diverses. Tout cela à cause d’un toast ou d’une tombola.
Comment se protéger des escroqueries par hameçonnage sur YouTube ?
1. Vérifiez le message
C’est une procédure de base, mais toujours vérifier l’expéditeur du message direct. Vérifiez que le compte provient bien de la chaîne à laquelle vous êtes abonné en accédant à sa page. En général, ces chaînes (phishing fakes) n’ont pas de contenu ;
2. Ne cliquez pas sur les liens suspects
La même règle pour les liens envoyés par e-mail, réseaux sociaux ou SMS s’applique ici; évitez de cliquer sur quoi que ce soit, et vérifiez toujours les sources officielles avant de prendre une décision. Les chaînes officielles n’informent jamais leurs abonnés des promotions et des tirages au sort pour les messages directs, notamment parce que beaucoup d’entre elles comptent des millions d’abonnés ;
3. Utiliser les outils de sécurité
anti-virus pare-feu et d’autres logiciels offrent nbsp blocs d’hameçonnage et est toujours mis à jour avec les nouveaux sites identifiés comme malveillants. A utiliser sans modération.
