Les garanties sont utiles. Mais si vous tombez dans un piège, vous êtes foutu.
Les escrocs en crypto-monnaie usurpent régulièrement l’identité de personnalités publiques sur les réseaux sociaux. C’est une astuce facile; changez votre nom en Joe Rogan, ouvrez un tirage au sort ou une opportunité d’investissement et partez avec l’argent. Mais si vous voulez faire une mise à mort sur les escroqueries cryptographiques, vous devez pirater le compte de quelqu’un.
Si vous lancez une arnaque à faible risque, vous pouvez pirater une entreprise locale ou un mec au hasard sur Facebook. À partir de là, vous pouvez jeter un large filet et envoyer à chaque ami ou mutuelle un lien vers une arnaque. Ou, vous pouvez contacter des personnes spécifiques qui pourraient être des victimes faciles – « Grand-mère, s’il vous plaît, ne le dites pas à mes parents, mais j’ai été arrêté et j’ai besoin de Bitcoin pour payer la caution ! »
Les escrocs avec un peu de bon sens ciblent généralement les grands comptes. L’exemple le plus récent est le Conseils techniques Linus Chaîne YouTube, qui a été piratée le 23 mars (ainsi que d’autres chaînes appartenant à Linus Media Group). Les pirates ont changé le Conseils techniques Linus nom de compte à « Tesla », a diffusé un flux en direct d’Elon Musk divaguant sur l’IA et a dirigé les victimes vers une « opportunité d’investissement » basée sur la cryptographie.
Cette arnaque met en lumière les protocoles de sécurité des comptes quelque peu défectueux de Google. Et, heureusement, cela alerte les gens sur le fait que YouTube regorge d’arnaques. Des dizaines de chaînes, grandes et petites, ont été détournées pour exécuter cette arnaque exacte. Conseils techniques Linus n’est que l’exemple le plus récent, le plus important et le plus ironique.
Google porte une partie de la responsabilité de ces hacks. Comme Linus Tech Conseils note dans son «Ma chaîne a été supprimée hier soir” vidéo, les plateformes de médias sociaux comme YouTube devraient exiger une authentification lorsqu’une personne change de nom d’utilisateur au hasard, supprime une tonne de contenu ou se connecte à partir d’un emplacement inhabituel. Et, comme les sites Web bancaires, les médias sociaux devraient régulièrement demander une réauthentification au lieu de laisser les gens connectés pendant plusieurs années à la fois.
« Mais qu’en est-il de l’authentification multifacteur ? » Voici la chose; vous n’avez pas besoin d’un mot de passe pour pirater un compte. Vous n’avez même pas besoin de gérer l’authentification multifacteur d’une victime. Tout ce dont vous avez besoin est le jeton de session à partir d’un appareil actuellement connecté au compte cible – ce jeton (il s’agit en réalité d’un simple cookie) indique au site Web « J’étais ici plus tôt, ne vous occupez pas de moi ! » D’où la nécessité d’une réautorisation plus agressive sur les réseaux sociaux.
Celui qui a détourné le Linus Tech Conseils channel a utilisé un jeton de session, ce qui a permis une entrée indolore. Ce jeton de session a été récupéré auprès d’un employé qui a involontairement ouvert un PDF malveillant déguisé en document lié au parrainage.
Et c’est là que vous devez faire attention; toute personne ou organisation peut être victime d’une violation de données. Les garanties sont utiles, mais si vous tombez dans un piège, vous êtes foutu.
Personne ne veut admettre qu’il est le maillon le plus faible. Et nous parlons souvent de sécurité de manière simpliste : installez ce gestionnaire de mots de passe, configurez ce VPN, et tu es bon ! Oui, ces étapes sont utiles, mais nous avons également besoin d’une sensibilisation et d’une éducation accrues. Une récente TrueCaller rapport indique que 68 millions d’Américains (près d’un cinquième de tous les citoyens américains) ont été victimes de stratagèmes de phishing en 2022, entraînant une perte de 40 milliards de dollars.
Google peut résoudre certains des problèmes de sécurité de YouTube, mais il ne peut pas vous apprendre à remettre en question chaque e-mail ou publication sur les réseaux sociaux qui vous parvient. Malheureusement, il n’existe pas de moyen clair d’enseigner aux gens la cybersécurité, d’autant plus que les méthodes de piratage et de phishing se transforment et évoluent constamment. Il semble que la meilleure façon d’apprendre ce genre de choses est de regarder les erreurs des autres, et je vous suggère de le faire.
Vous pouvez lire l’article original (en Angais) sur le blogwww.reviewgeek.com