Quels sont les risques sur les réseaux sociaux ?

Les réseaux sociaux permettent aux gens de se connecter, de partager des expériences de vie, des photos et des vidéos. Mais trop de partage - ou un manque d’attention aux imposteurs - peut conduire à une compromission des comptes professionnels et personnels.

Les attaquants utilisent souvent les comptes de réseaux sociaux pendant la phase de reconnaissance d’une attaque d’ingénierie sociale ou de phishing. Les réseaux sociaux peuvent offrir aux attaquants une plateforme pour se faire passer pour des personnes et des marques de confiance et obtenir les informations dont ils ont besoin pour mener d’autres attaques, notamment d’ingénierie sociale et de phishing.

Les méthodes utilisées par un attaquant dépendent de la plateforme de réseaux sociaux visée.

Facebook permet aux utilisateurs de garder leurs images et leurs commentaires privés, de sorte qu’un attaquant va souvent devenir ami avec les amis d’un utilisateur ciblé ou envoyer directement une demande d’ami à un utilisateur ciblé pour accéder à ses publications.

Si un attaquant peut se connecter à plusieurs amis de l’utilisateur ciblé, il est plus probable que ce dernier accepte la demande d’ami en fonction du nombre d’amis connectés.

LinkedIn est une autre cible courante des réseaux sociaux. LinkedIn est connu pour ses réseaux d’affaires, et les réseaux des utilisateurs sont généralement remplis de collègues et d’autres employés de la même organisation.

Si un attaquant cible une entreprise, LinkedIn est un excellent site de réseaux sociaux pour collecter des emails professionnels en vue d’une attaque de phishing. Une grande entreprise peut avoir plusieurs employés en réseau qui indiquent leur employeur et leur titre.

Un attaquant peut utiliser ces informations publiques pour trouver plusieurs employés qui ont accès à des informations financières, à des données privées de clients ou à des accès réseau à haut niveau de privilège.

La collecte d’informations pour voler des données n’est pas la seule raison d’utiliser les réseaux sociaux pour la reconnaissance. Les informations publiées sur les réseaux sociaux peuvent être utilisées pour obtenir des mots de passe ou se faire passer pour des utilisateurs professionnels.

De nombreux comptes en ligne permettent aux utilisateurs de réinitialiser leur mot de passe s’ils saisissent une question de sécurité.

Avec suffisamment d’informations provenant des publications sur les réseaux sociaux, un attaquant pourrait deviner la réponse à ces questions de sécurité en se basant sur les informations privées publiées par un utilisateur ciblé.

L’usurpation de marque est une autre menace liée aux réseaux sociaux.

Avec suffisamment d’informations recueillies, un attaquant peut se faire passer pour une marque commerciale afin d’inciter les utilisateurs à envoyer de l’argent, à divulguer des informations privées ou à lui fournir des identifiants de compte.

Les attaquants utilisent également cette menace pour réaliser des attaques de type cross-site scripting (XSS) ou cross-site request forgery (CSRF). Ces attaques peuvent conduire à des violations de données plus massives et à la compromission d’infrastructures commerciales.

Étant donné que de nombreuses plateformes de réseaux sociaux affichent publiquement les messages des utilisateurs, les attaquants peuvent collecter silencieusement des données à l’insu des utilisateurs. Certains attaquants vont aller plus loin pour obtenir l’accès aux informations des utilisateurs en contactant les utilisateurs ciblés ou leurs amis. 

La manière dont une menace sur les réseaux sociaux est mise en œuvre par un attaquant dépend de ses objectifs.

Si un attaquant est à la recherche d’une récompense à fort enjeu, le meilleur moyen d’obtenir rapidement une récompense monétaire pour ses efforts est de cibler des entreprises. Un attaquant peut d’abord consulter LinkedIn pour obtenir une liste de cibles possibles. Les cibles peuvent être un mélange d’employés d’entreprise de haut niveau et d’utilisateurs à faible privilège qui pourraient être amenés à envoyer des données d’entreprise supplémentaires ou à se laisser piéger par une attaque de phishing qui donne à l’attaquant l’accès aux informations d’identification du compte.

Muni d’une liste de cibles, un attaquant peut ensuite examiner les comptes de réseaux sociaux à la recherche d’informations personnelles. Les informations personnelles peuvent aider l’attaquant à gagner la confiance de la cible dans une attaque d’ingénierie sociale. Elles peuvent également être utilisées pour deviner les réponses aux questions de sécurité en vue d’une prise de contrôle du compte ou pour se rapprocher d’un utilisateur disposant de privilèges plus élevés. Le nom des animaux de compagnie, les équipes sportives préférées et l’historique des études sont autant d’indices potentiels de mots de passe ou de réponses à des questions utilisées pour vérifier l’identité de l’utilisateur afin de réinitialiser un mot de passe.

Une fois que l’attaquant a recueilli toutes les données nécessaires, l’étape suivante consiste à lancer l’attaque. Un attaquant peut utiliser l’une des méthodes suivantes :

• Ingénierie sociale. Un attaquant peut appeler des employés pour les inciter à envoyer des données privées, à prouver leur identité ou à lui verser de l’argent. Dans le cas d’une attaque complexe, l’attaquant peut se faire passer pour un cadre de haut niveau afin d’inciter l’utilisateur ciblé à transférer de l’argent sur le compte de l’attaquant.
• Phishing. Un attaquant peut utiliser les informations recueillies sur les réseaux sociaux pour usurper l’identité de l’expéditeur d’un message électronique et inciter les utilisateurs à cliquer sur des liens ou à envoyer des données privées à l’attaquant. L’adresse électronique d’un employé de haut niveau peut être usurpée par un message demandant au destinataire d’envoyer de l’argent, de cliquer sur un lien malveillant ou de répondre avec des données sensibles.
• Usurpation d’identité de marque. En utilisant les noms des employés d’une marque, l’attaquant peut faire croire aux clients que les demandes proviennent de la marque légitime. Cela peut être utilisé pour inciter les utilisateurs à divulguer des informations personnelles ou des identifiants de compte.
• Compromission de sites et vol de données. Avec suffisamment d’informations provenant des réseaux sociaux, un attaquant peut écrire un malware ciblant explicitement l’entreprise ou réaliser une attaque permettant d’accéder au réseau interne où l’attaquant peut ensuite exfiltrer des données.
• Propagation de malwares. Comme pour l’usurpation d’identité, un pirate peut créer des domaines et des sites web qui prétendent être l’entreprise légitime et inciter les utilisateurs à télécharger des logiciels malveillants ou à fournir des informations d’identification.
• Fuite de données. Si un pirate accède aux informations d’identification d’un compte, cela peut entraîner une violation importante des données de l’entreprise.

Étant donné qu’il existe plusieurs plateformes de réseaux sociaux sur Internet, un pirate peut pratiquer l’ingénierie sociale et le phishing en utilisant diverses méthodes de menace. Il n’existe pas de menace unique pour un attaquant sur les réseaux sociaux.

Mais la reconnaissance et la recherche de base à l’aide des réseaux sociaux sont les mêmes. Toute information publique figurant sur des comptes de réseaux sociaux privés ou professionnels peut être utilisée pour d’autres attaques.

La plupart des menaces sur les réseaux sociaux proviennent d’employés qui divulguent publiquement trop d’informations privées et professionnelles. Ces comptes étant personnels, les entreprises ne peuvent pas empêcher les utilisateurs d’être présents sur les réseaux sociaux. Mais elles peuvent éduquer les utilisateurs sur les meilleurs moyens de protéger les données et leurs identifiants.

L’éducation est essentielle pour mettre fin aux risques sur les réseaux sociaux. Les individus peuvent s’éduquer eux-mêmes, mais les entreprises doivent mettre en place des programmes de formation pour chaque employé afin qu’il puisse détecter et prévenir l’ingénierie sociale et le phishing.

La première étape consiste à sensibiliser les utilisateurs aux dangers de divulguer trop d’informations en ligne au public. Même les comptes de réseaux sociaux définis comme privés peuvent être utilisés dans le cadre d’une attaque si l’attaquant obtient l’accès aux flux privés.

Les utilisateurs ne devraient jamais publier d’informations d’entreprise privées sur leurs comptes de réseaux sociaux ou d’informations qui pourraient être utilisées dans le cadre d’une prise de contrôle du compte.

Certaines organisations distribuent des appareils mobiles et permettent aux utilisateurs d’installer des applications de réseaux sociaux. Ces entreprises doivent fournir une politique d’utilisation acceptable qui détermine ce que les utilisateurs peuvent publier en utilisant les appareils de l’entreprise.

Il est également essentiel de protéger ces appareils contre les logiciels malveillants pour éviter que les comptes de réseaux sociaux de l’entreprise ne soient piratés.

Un logiciel d’effacement à distance doit être installé si un employé perd physiquement son appareil ou si celui-ci est volé.

Voici quelques autres points éducatifs pour les employés :

• Utilisez des bloqueurs de publicité sur les appareils de l’entreprise. S’il n’est pas possible d’utiliser des bloqueurs de publicité, demandez aux employés d’éviter de cliquer sur les publicités, en particulier sur les fenêtres contextuelles qui demandent aux utilisateurs de télécharger un logiciel pour visualiser le contenu.
• Les employés ne doivent pas partager leurs mots de passe, même si c’est au sein du même service.
• Les attaquants utilisent la peur et l’urgence dans leurs engagements, et les employés doivent reconnaître cette tactique comme suspecte. Tout message ou message sur les réseaux sociaux incitant les employés à agir rapidement doit être ignoré.
• N’acceptez pas les demandes d’amis provenant de personnes inconnues, même si l’utilisateur a plusieurs amis en commun.
• Évitez d’utiliser les sites de réseaux sociaux sur les hotspots Wi-Fi publics. Le Wi-Fi public est un endroit courant pour les attaquants qui espionnent les données à l’aide d’attaques de type “man-in-the-middle” (MitM).

Les mots de passe des comptes utilisateurs doivent être changés régulièrement. Mais les utilisateurs doivent également être encouragés à changer les mots de passe de leurs propres comptes de réseaux sociaux privés.

Le personnel informatique doit mettre en place des défenses de cybersécurité pour aider les utilisateurs à ne pas être victimes d’une attaque. Les serveurs de messagerie peuvent utiliser des applications d’intelligence artificielle pour repérer les emails suspects contenant des liens et des pièces jointes malveillants.

Les messages suspects peuvent être mis en quarantaine et examinés par les administrateurs afin de déterminer si l’organisation est la cible d’une attaque. L’isolation des navigateurs est également une option pour les organisations qui laissent les utilisateurs naviguer sur Internet.

Cette technologie permet aux utilisateurs de naviguer librement sur l’internet, mais confine l’activité web personnelle dans un conteneur protégé qui empêche les téléchargements, les téléversements et les remplissages de formulaires afin de maintenir les menaces hors de l’environnement.