De nombreuses organisations font désormais appel à un nouveau procédé pour assurer le service client : les réseaux sociaux. Très appréciés par la clientèle, ces derniers permettent aux entreprises de traiter leurs demandes à faibles coûts. Cependant, dès qu'un échange s'établit entre le fournisseur et l'utilisateur, des personnes mal intentionnées sont à l’affût. Les réseaux sociaux n'échappent pas à la règle. En effet, une équipe de recherche a remarqué que de plus en plus de hackers exploitent les comptes d'assistance pour dérober les identifiants et les données personnelles des clients, le tout en portant atteinte à la réputation de l'établissement en question.
Subtilisation des identifiants bancaires
L'une des attaques les plus courantes consiste à employer un faux compte, soi-disant contrôlé par une banque, pour subtiliser les identifiants bancaires d'un client. Voici comment cette opération se déroule :
Un client envoie un tweet (par exemple, « J'ai perdu mon mot de passe ») sur le compte Twitter d'une banque (par exemple, @MajorBankHelp), destiné à centraliser les demandes d'assistance.
Un pirate, surveillant le compte @MajorBankHelp et en mesure de consulter les tweets postés, répond directement au client depuis un faux compte Twitter au nom légèrement différent (par exemple, @MajorBank_Help). Le compte semble, sinon, tout à fait identique : les mêmes logos et images sont employés, etc. Souvent, les pirates opèrent hors des heures d'ouverture, avant même que le personnel concerné puisse avoir accès au tweet.
Le tweet de l'attaquant inclut un lien vers un site Web frauduleux, sur lequel le client est invité à se connecter pour que le problème qu'il rencontre puisse être traité (il souhaite, par exemple, réinitialiser son mot de passe). Lorsque le client se connecte, le pirate dérobe les identifiants bancaires employés par celui-ci.
En procédant ainsi, les attaquants peuvent consulter les données personnelles d'un individu sans avoir à infiltrer les infrastructures mises en place par la banque, ou à envoyer un courrier électronique de phishing à cette même personne. En effet, à quoi bon défier maints systèmes de sécurité ou envoyer des milliers de messages, alors qu'il suffit simplement d'inviter le client à vous fournir les informations qui vous intéresse ?
Détournement de la conversation
Dans l'exemple ci-dessus, le pirate envoie directement un tweet au client depuis le faux compte et, par là même, infiltre la conversation. Une fois que ceci s'est produit, la banque n'est pas en mesure d'identifier la menace tant qu'elle ne lui a pas été rapportée par la victime.
Si cette même banque est impuissante, comment ses clients pourraient-ils se prémunir contre une telle opération frauduleuse ? Difficilement. Reportez-vous aux tweets légitimes ci-dessous. Tous constituent des messages envoyés directement à un client suite à une demande. Exactement comme lors du détournement.
Dans chaque situation, une entité, fiable à première vue, invite le client à utiliser le service de messagerie instantanée pour fournir des informations bancaires à l'agent d'assistance. Des numéros de sécurité sociale peuvent même être demandés ! Comment un client peut-il identifier de tels tweets frauduleux ? Afin de se faire passer pour une banque, ou envoyer un message ou un lien redirigeant vers un site de phishing, un attaquant doit simplement effectuer les opérations suivantes :
Créer un compte dont le nom diffère légèrement (par exemple, Bank_Help au lieu de BankHelp) ;
Copier le logo de la banque sur le compte.
Ceci peut être effectué en cinq minutes, sans qu'aucun coût ne soit induit. Si vous étiez l'auteur d'une demande d'assistance, remarqueriez-vous un trait de soulignement supplémentaire dans un tweet de réponse ? Pas la plupart des gens, en tout cas.
L'importance des détails
Grâce aux comptes frauduleux, les réseaux sociaux constituent une aubaine pour les pirates. Une aubaine qui permet d'obtenir des résultats bien plus convaincants qu'en cas d'envoi de courriers électroniques dangereux. Pour perfectionner leurs appâts, les attaquants étudient les demandes envoyées par des clients spécifiques, et identifient la banque concernée. De telles informations leur permettent ensuite de poster un tweet frauduleux semblant tout à fait légitime et invitant le client à effectuer une opération donnée (car il souhaite, par exemple, réinitialiser son mot de passe). Un courrier électronique, quant à lui, contient des données personnalisées mais somme toute plutôt vagues. De plus, les victimes reçoivent un message qu'ils n'attendaient pas, soi-disant envoyé par une banque à laquelle il est possible qu'ils ne fassent même pas appel... Enfin, la plupart des individus ont déjà été encouragés plusieurs fois, par leur établissement bancaire réel, à ignorer de tels courriers. Avec les réseaux sociaux, les pirates disposent vraiment d'un atout.
Qu'en est-il des comptes « vérifiés » ?
Twitter procède à la vérification des comptes afin de garantir leur authenticité. Une coche bleue s'affiche sur la page principale des comptes fiables, en regard du nom de ces derniers. Bien que cette opération se révèle utile, elle n'est en aucun cas infaillible, pour diverses raisons :
La coche bleue n'apparaît pas dans les tweets, ce qu'un client ne remarquera pas ;
De nombreux utilisateurs ne savent pas ce que la coche bleue représente ;
La coche bleue est visible sur de nombreux comptes frauduleux, au niveau du profil ou des images d'arrière-plan : même les utilisateurs familiers de celle-ci ne se rendent pas compte qu'elle n'apparaît pas au bon endroit.
Du phishing, des logiciels malveillants et plus encore
Les pirates ne se contentent pas de dérober des données personnelles en se faisant passer pour des banques. En effet, des milliers de comptes frauduleux, sur les réseaux sociaux, permettent également de diffuser des logiciels malveillants, de promouvoir de faux produits, voire de prendre part à des procédés douteux au nom d'une entreprise donnée. Cliquez ici et ici pour savoir comment les attaquants tirent parti des comptes d'assistance pour malmener les organisations et les clients. Nous vous recommandons également de consulter notre rapport dédié aux entreprises du classement Fortune 100 pour obtenir d'autres informations liées à l'emploi de comptes de réseaux sociaux à fins malveillantes.
Que faire ?
Les organisations souhaitant réduire les risques induits par les comptes de réseaux sociaux, et notamment ceux dédiés à l'assistance, peuvent effectuer les opérations suivantes.
Établir une équipe en charge de l'identification des comptes frauduleux, et des mesures qui s'imposent alors (celle-ci peut spécifiquement s'atteler aux réseaux sociaux, mais peut également se composer des membres de l'équipe de sécurité) ;
Détecter les comptes frauduleux sur les réseaux sociaux, via l'utilisation d'outils automatisés générant des alertes ;
Faire en sorte que les comptes frauduleux soient mentionnés aux plateformes concernées (Twitter, Facebook, etc.) afin qu'ils puissent être fermés ;
Conseiller aux utilisateurs d'envoyer des demandes uniquement lors des heures d'ouverture, afin de réduire la durée pendant laquelle les opérations menées par les pirates peuvent se révéler fructueuses.