De nombreuses tentatives d’hameçonnage visent en ce moment des comptes vérifiés sur Twitter. Ces derniers tentent de dérober les identifiants afin de pouvoir ensuite revendre les comptes.

« Confirmez votre compte en cliquant sur le formulaire. Si vous ne le faites pas, […] votre badge vous sera retiré.» Le ton du mail est menaçant. Je l’ai reçu directement dans ma boite mail professionnelle, celle que j’utilise tous les jours dans mon métier de journaliste à Numerama.

Le message semble provenir de Twitter Verified, le service officiel du réseau social en charge de la certification des comptes. Mais ce n’est pas le seul que j’ai reçu. Quelques jours plus tard, un mail m’annonce qu’il faut absolument que je me connecte à Twitter, car le service « Vérification » aurait tenté de me joindre. « Recevoir un message de la part du Service Vérification signifie qu’il y a un problème avec votre compte certifié », précise le mail.

Ces deux messages ne proviennent pas de Twitter, mais d’escrocs tentant de dérober mes identifiants : c’est un phishing. Ce n’est pas la première fois qu’une campagne d’hameçonnage cible les utilisateurs du réseau social. Cependant, c’est la première fois qu’on remarque que plusieurs vagues de phishing simultanées visent spécifiquement des comptes Twitter certifiés.

Pour comprendre ce qui se trame derrière cette nouvelle tendance, je me suis donc volontairement laissée avoir par ces hameçonnages.

De nombreux phishings ciblent les comptes certifiés sur Twitter // Source : Montage Numerama
De nombreux phishings ciblent les comptes certifiés sur Twitter // Source : Montage Numerama

Des phishings par mail

J’ai identifié plusieurs techniques pour voler les comptes Twitter.

Les premières ont eu lieu par mail : j’ai reçu deux messages, à quelques jours d’intervalle, utilisant des tactiques légèrement différentes. Le premier semble avoir été envoyé par Twitter Services, ce qui rend le phishing relativement crédible au premier coup d’œil. L’adresse utilisée comporte cependant une faute d’orthographe, et il s’agit d’une adresse Gmail . Mais ce ne sont pas des détails visibles sans cliquer sur l’expéditeur.

Le mail m’invite à me connecter tout de suite sur mon compte Twitter, pour confirmer que je ne suis pas un bot, sous peine de perdre mon badge. Il s’agit d’un faux prétexte : un badge Twitter n’est obtenu que lorsque les équipes du réseau social ont procédé à toutes les vérifications nécessaires. Le mail m’invite néanmoins à cliquer sur un bouton pour confirmer mon identité, ce qui m’amène sur un site reprenant l’apparence de Twitter.

Cette page est convaincante et très similaire à celle véritablement utilisée par le réseau social. Autre détail qui renforce la crédibilité du phishing : lorsque je renseigne mon identifiant, le site affiche bien le nom affiché sur mon profil Twitter. Si vous confirmez qu’il s’agit bien de vous en donnant votre mot de passe, vos identifiants sont donc volés.

Des captures d'écran de phishing reçu par Numerama // Source : Montage Numerama
Des captures d’écran de phishing reçu par Numerama // Source : Montage Numerama

Le deuxième phishing prétendait que j’avais reçu une notification de la part des services de Twitter. Là encore, le mail m’explique qu’il y a un risque que je perde mon badge, et m’invite à me connecter au plus vite sur le site afin de pouvoir le conserver. Là aussi, le mail me propose de me connecter via un lien qui m’amène vers une page très réaliste, où je dois renseigner identifiant et mot de passe. La page est, encore une fois, destinée à les voler.

Des phishings directement sur Twitter

Ce ne sont pas les seuls phishings auxquels j’ai été confrontée. À quelques jours d’écart, un journaliste de Frandroid et un autre journaliste de la rédaction de Numerama ont reçu les mêmes tentatives d’hameçonnage, cette fois directement sur Twitter.

Ils ont tous les deux reçu une notification leur apprenant que leur compte avait été ajouté à une liste, nommée « blacklisted accounts » (soit « comptes sur liste noire » en français). Ils ont été ajoutés par un compte usurpant le nom de Twitter, et arborant une image de badge certifié afin de renforcer sa crédibilité.

Une courte description, en haut de la liste, explique qu’« après un examen minutieux, nous avons déterminé que votre compte n’est pas authentique », et qu’il a donc été blacklisté. « Si vous pensez que nous avons fait une erreur, vous pouvez faire appel en suivant le lien ci-dessous. Autrement, votre badge sera définitivement retiré dans les prochaines 24 heures ».

Si vous êtes ajouté à une liste « blacklisted account », il s'agit d'un phishing // Source : Montage Numerama
Si vous êtes ajouté à une liste « blacklisted account », il s’agit d’un phishing // Source : Montage Numerama

Les deux tentatives de phishing ont été réalisées avec des comptes différents, mais les deux listes renvoyaient vers le même site, au nom assez convaincant : « solveappeal.com » (soit « faire appel »). Bien évidemment, le site nous demande de nous connecter, et pour cela de renseigner identifiant et mot de passe. Le but est, encore une fois, de les voler.

Que deviennent les comptes, une fois qu’ils sont piratés ?

La multiplication des tentatives ces dernières semaines n’est pas anodine, et elle soulève de nombreuses questions. Tout d’abord, comment les escrocs repèrent-ils les comptes à viser ? Pour l’instant, il n’y a pas d’explications claires. Il est cependant possible qu’ils se soient appuyés sur la liste des abonnés de Twitter Verified, le compte officiel de la plateforme qui suit les personnalités vérifiées.

Autre question soulevée par ces phishings : pourquoi les escrocs cherchent-ils à les voler ? La réponse est simple : une fois les identifiants dérobés, les escrocs revendent les comptes. Sur Telegram, il existe un marché noir très actif dédié à la revente de comptes Twitter certifiés, et sur lequel The Verge a enquêté.

Le média explique de nombreuses personnalités certifiées se sont fait avoir par ces phishings très bien réalisés ces derniers mois, et que leurs profils ont été revendus sur des canaux Telegram spécialisés. Des escrocs achètent ensuite les comptes certifiés et se servent de la crédibilité offerte par le badge bleu pour promouvoir des arnaques, portant généralement sur des projets frauduleux de NFT.

On trouve très facilement ces groupes de vente de comptes Twitter sur Telegram, comme Numerama a pu le vérifier. Une simple recherche suffit pour tomber sur des groupes publics rassemblant parfois plus de mille personnes et proposant aux enchères des comptes certifiés — et il existe certainement d’autres canaux privés proposant les mêmes services. Même si certains groupes sont probablement des arnaques, cela montre en tout cas la demande importante en comptes Twitter.

Il faut dire que les arnaques NFT sont un business juteux : l’équivalent de plus de 100 millions de dollars ont été volés en 2021 suite à des arnaques NFT — une partie grâce à des escroqueries ayant eu lieu sur Twitter. La popularité des arnaques sur le réseau social explique, au moins en partie, l’augmentation des phishings ciblant les comptes certifiés.

Il n’y a pas que sur Twitter que les comptes certifiés sont la cible de phishings élaborés. Sur YouTube, de nombreux vidéastes se sont fait voler leur compte après un hameçonnage. Les pirates les ont ensuite complètement transformés afin de faire croire qu’il s’agissait du compte de Tesla ou d’Elon Musk, et ont organisé de faux lives de dons pour attirer des victimes. Le Youtubeur français Michou s’est retrouvé dans cette situation en avril 2022, et a vu sa chaine forte de 7,2 millions d’abonnés diffuser une arnaque crypto.


Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.