Nous les avons tous vus sur Facebook, peut-être même les avons fait nous-mêmes: quiz viraux sur les médias sociaux. Il s’agissait peut-être des 10 meilleurs concerts auxquels vous avez assisté ou d’une douzaine de faits amusants que les gens ne connaissent peut-être pas à votre sujet. Aussi innocents qu’ils puissent paraître, ces quiz sur les médias sociaux peuvent vous mettre dans le collimateur des attaquants, physiques et cyber. Ils sont un excellent exemple de partage excessif de données sensibles en ligne, qui s’est généralisé avec l’avènement des médias sociaux.
Dans cet article, nous mettons en lumière cette question omniprésente pour deux raisons: c’est l’un des risques les plus répandus et les plus évitables sur les médias sociaux.
Le sur-partage ne se limite pas aux quiz viraux ou aux tendances. Publier publiquement des informations sur les vacances, la famille, les informations personnelles identifiables (PII) ou votre emplacement physique peut, dans certains cas, vous exposer à des risques. La plupart des gens savent ne pas publier de photos de leurs cartes de crédit ou divulguer des informations financières sensibles, mais un nombre surprenant de personnes publient leurs numéros de téléphone, leur adresse personnelle et plus encore sur les médias sociaux. Après tout, les réseaux encouragent les utilisateurs à remplir tous les champs possibles sur leur profil, y compris certains des plus sensibles.
Les attaquants peuvent utiliser ces données de trois manières principales:
Mots de passe Bruteforcing
Les pirates recherchent toutes les informations qu’ils pourraient utiliser pour deviner les mots de passe. Souvent, cela ne prend pas beaucoup. Le mot de passe le plus couramment utilisé en 2020 était « 123456 », suivi de « 123456789. » Les attaquants peuvent simplement essayer les 25 premiers mots de passe les plus courants et réussir 50% du temps. Les mots de passe ne sont souvent que légèrement plus complexes que cela; le nom d’un chien ou un nom de rue associé à « 123. »Les attaquants utilisent des outils automatisés pour tester des combinaisons de mots—clés — des choses que vous auriez pu heureusement divulguer dans votre profil social – pour deviner rapidement des milliers de combinaisons de mots de passe.
Les pirates utilisent également les données glanées grâce au partage excessif pour deviner les questions de sécurité et pénétrer dans les comptes de cette façon. Les questions de sécurité sont souvent des choses comme le nom de votre premier animal de compagnie, la rue où vous avez grandi, votre mascotte de lycée, votre auteur préféré ou votre héros d’enfance. Ils ressemblent de manière frappante à des questions de quiz virales sur les réseaux sociaux, n’est-ce pas?
Attaques d’ingénierie sociale
Toute information que vous publiez sur les médias sociaux peut également être utilisée par un pirate informatique lorsqu’il élabore une attaque d’ingénierie sociale. Armé de vos informations personnelles, un attaquant est bien équipé pour personnaliser un message qui vous semble légitime. Par exemple, si un pirate sait que vous avez assisté à un concert de Radiohead, le message » avez-vous vu la nouvelle chanson de Radiohead? Je viens de tomber aujourd’hui! »aura beaucoup plus de chances de succès. Les attaquants conduisent les utilisateurs vers des pages de phishing et des exploits de logiciels malveillants avec cette tactique. Le message sera encore plus efficace s’il provient d’un faux compte se faisant passer pour quelqu’un que vous connaissez ou, mieux encore, du compte réel d’une connexion après qu’elle a été détournée. Pour un attaquant, ce sont deux avantages supplémentaires.
Vol physique
Les gens aiment poster des photos de leurs vacances. Si un attaquant sait où vous habitez — une chose étonnamment facile à comprendre à l’ère des médias sociaux, surtout si vous l’inscrivez sur votre profil, activez la géolocalisation de vos publications ou avez déjà publié des photos de chez vous ou autour de chez vous — il aura toutes les informations dont il a besoin pour s’introduire et prendre ce qu’il veut. Nous vous suggérons d’attendre que vous soyez à la maison pour poster et d’utiliser intentionnellement un langage pour laisser entendre que vous n’êtes pas à l’étranger.
Nous ne préconisons pas que vous arrêtiez complètement de publier sur les médias sociaux. Faites plutôt attention à ce que vous partagez et prenez une seconde pour réfléchir aux conséquences potentielles avant de crier cette information sur le forum public des médias sociaux.
ZeroFox recommande ce qui suit pour rester en sécurité sur les réseaux sociaux:
- Soyez prudent avec les quiz sur les médias sociaux et ne répondez qu’aux questions avec lesquelles vous vous sentez à l’aise. Si une réponse concerne un mot de passe ou une question de sécurité, ne la postez pas. Notre conseil ? Ne les remplissez pas du tout.
- Ne divulguez aucune information sensible dans votre biographie de profil, même si le réseau vous encourage à la compléter. Cela inclut le numéro de téléphone, l’adresse, l’anniversaire et plus encore.
- Faites attention à ce qui se trouve dans une image avant de publier. Pouvez-vous voir votre carte de crédit sur la table? Votre adresse ou votre panneau de rue est-il visible à l’arrière?
- Méfiez-vous des escroqueries, telles que les coupons et les promotions distribués via des sites autres que le détaillant officiel.
- Les sites Web frauduleux manquent souvent de certificats de site Web SSL (ou TLS), ce qui est standard pour presque tous les sites Web, en particulier ceux qui demandent des informations d’identification ou des informations de carte de crédit. Cela a longtemps été une méthode par laquelle les consommateurs peuvent être assurés que le site est légitime et sûr, comme le démontre la désignation « https » et de nombreux navigateurs ne l’affichent pas en vert. Si le site ne possède pas de certificat de site Web SSL / TLS et ne crypte pas vos informations, il n’est probablement pas sûr de faire confiance à ce site.
- Assurez-vous que l’authentification à deux facteurs est activée sur vos comptes de médias sociaux lorsqu’elle est disponible. Cela constitue une autre barrière de protection en cas de vol de vos informations d’identification par une page malveillante. De nombreux réseaux sociaux peuvent désormais exiger l’envoi d’un code sur votre téléphone ou par e-mail lorsqu’ils détectent un nouveau navigateur ou un nouvel appareil tentant d’accéder à votre compte.
- Méfiez-vous des liens sur les réseaux sociaux. Survolez-les pour obtenir un aperçu et recherchez de près les URL des imitateurs et les personnages censés ressembler aux autres. En cas de doute, copiez le lien dans un outil d’analyse gratuit comme VirusTotal.
- Si quelqu’un ou quelque chose vous invite à télécharger et installer une application ou un fichier, restez à l’écart. Les applications mobiles ne doivent être téléchargées que dans des magasins d’applications organisés tels que l’App Store d’Apple ou Google Play.
- Assurez-vous que votre antivirus et votre anti-malware sont à jour sur votre appareil, qu’il s’agisse d’un PC, d’un Mac ou d’un appareil mobile.
- Curate qui vous suivez. Le fait de suivre des comptes suspects augmente vos chances d’être exposé à des escroqueries sur les réseaux sociaux, et même des comptes bénins peuvent être détournés ou vendus à des escrocs.
- Même si une connexion vérifiée vous envoie quelque chose de suspect, ne cliquez pas, car leur compte aurait pu être piraté. Contactez-les via un autre canal pour vérifier si le message est légitime.
- Méfiez-vous des usurpations d’identité de marque. À moins qu’il n’ait la coche bleue vérifiée, ne cliquez sur rien de ce que les comptes publient car il s’agit probablement d’une usurpation d’identité du profil réel.
- Ci-dessus, faites attention à ce que vous cliquez sur les médias sociaux! Si cela semble suspect, c’est probablement le cas.
Alors que nous considérons les médias sociaux comme des jeux et des jeux amusants (et des quiz), cela entraîne un risque inhérent pour les marques et les particuliers. Qu’il s’agisse de faux comptes, de contenu offensant ou de piratage de comptes, il est important que les entreprises reconnaissent les risques réels de sécurité présentés par les médias sociaux et se protègent en conséquence. En savoir plus sur l’offre de sécurité des médias sociaux de ZeroFox ici.
Mots clés: Tendances cyber