Pirater des comptes Instagram : un business à un milliard de dollars

Si vous venez de vous faire pirater votre compte Instagram je vous conseille de lire cet article.

Le compte Instagram en question est un compte professionnel cumulant un peu plus de 35k followers. L. a passé plusieurs mois à développer sa notoriété afin de se construire une communauté de clients potentiels. Et en seulement quelques minutes, une partie de son business s’est évaporée entre les mains d’un hacker.

Peu de temps après l’intrusion dans son compte Instagram elle reçoit un message sur WhatsApp.

La suite? Un discours de rançonnage bien rodé avec un service multilingue ( l’opérateur fait de son mieux pour vous offrir l’expérience la plus personnalisée, vous êtes tout de même un client). Si vous souhaitez récupérer votre compte, vous aurez le choix entre un achat en ligne à hauteur de 100€ ou un transfert par Bitcoin. Et au besoin l’opérateur se pliera en quatre pour vous mettre à disposition un tutoriel étape par étape afin d’assurer la clôture de la “vente”.

Cependant si vous êtes trop lent dans vos actions/réponses, il n’hésitera pas à vous rappeler que c’est lui qui mène la danse, en vous menaçant de supprimer votre compte dans la minute. Cependant si votre compte est supprimé, vous n’auriez plus d’intérêt à payer, c’est là que se trouve votre “ouverture” pour récupérer votre compte.

Dans le cas contraire, si vous êtes un bon payeur, l’opérateur tentera de vous fidéliser, s’en suivra alors une mécanique de surenchère vous demandant de repayer .

Il existe différents moyens de subtiliser les accès d’un Compte Instagram, voici quelques exemples:

Tout d’abord les attaques de type “bruteforce” consiste à tester un grand nombre de mots de passe de manière automatisée. Bien que Facebook et Instagram disposent de moyens pour bloquer ce type d’attaque, il est toujours possible de les contourner.

Une autre faille existe, si vous utilisez le même mot de passe sur plusieurs plateformes distinctes. Vous avez de fortes chances de vous faire pirater (ce n’est qu’une question de temps), dans l’éventualité où une de ces plateformes venait à se faire corrompre sa base de données.

Enfin, un autre type d’attaque appelé “phishing” ou “hameçonnage” consiste à usurper l’identité digitale ou physique d’un service que vous utilisez. C’est l’attaque dont a été victime L. et l’une des plus répandue actuellement. Le hacker s’est fait passé pour le support d’Instagram en l’informant que du contenu sur son compte Instagram enfreignait les CGUs. Afin d’éviter la fermeture de son compte, elle devait se connecter à Instagram et prouver la légitimité de son contenu.

La suite vous la connaissez…

En amont de cette phase investigation, j’ai assisté L. à la récupération de son compte Instagram par les voies légales (support Facebook). Par la suite des questions n’ont cessé de s’installer : qui se cache derrière? Est-ce un loup solitaire? Une organisation criminelle? Où sont-ils physiquement? Combien ces délits rapportent-ils?

Cette opération a été menée en connaissance de cause, ne tentez pas de la reproduire. Souhaitant assurer l’intégrité des données collectées, aucune information concernant l’identité et la localisation du hacker ne sera dévoilée. Les échanges en anglais ont été retranscrits en français et modifiés afin de limiter l’identification de la conversation.

Chaque infiltration nécessite une stratégie adaptée à la cible. Un hack est un équilibre entre un bon bagage technique (code </>) et de l’ingénierie sociale (établir le profil psychologique de la cible).

Prérequis technique :

Prérequis “social” :

Me voilà fin prêt à entrer en contact avec le hacker. J’ai décidé de me faire passer pour un parent d’une victime de piratage.

J’obtiens une première réponse en quelques minutes, et le hacker me demande le compte Instagram piraté. Je n’ai pas de compte piraté, il faut que je trouve un moyen de continuer cette conversation en contournant la question.

Parfait! Mon interlocuteur vient de me donner une information précieuse. Son adresse public Bitcoin va peut-être me permettre de découvrir l’ampleur de cette fraude. Si vous ne connaissez pas le Bitcoin et la Blockchain, il faut savoir que l’ensemble des transactions entrantes et sortantes sont accessibles publiquement. Seule différence avec un compte bancaire classique, on ne peut pas savoir à qui appartient le compte.

En quelques minutes de recherche sur la Blockchain je constate que cette adresse Bitcoin transfert son butin quotidiennement vers une adresse “mère”.

Il semble que le business soit bien juteux : +1,5 milliard $ transférés sur cette adresse en quelques mois. C’est sans nul doute une organisation criminelle employant des centaines de personnes. Avec quelques recherches annexes, je découvre que cette adresse est déjà associée à des fraudes autres que le piratage de compte Instagram. Au vu de l’organisation, j’ai la forte intuition que mon interlocuteur n’est pas un “hacker professionnel” dans le sens technique, et qu’il suit un script bien défini.

Afin d’en apprendre plus, j’ai besoin de savoir quel type d’appareil informatique le hacker utilise. En ce sens, je vais jouer sur mon ignorance des paiements par Bitcoin.

Le lien que je viens d’envoyer redirige vers un site d’achat de Bitcoin. Rien de bien suspect. Cependant, j’ai modifié ce lien dans le but de collecter le maximum d’informations sur l’appareil de la cible (marque, version, système d’exploitation, type de navigateur, langue de l’appareil, adresse IP, résolution de l’écran, opérateur téléphonique).

Ces informations sont une mine d’or, car elles vont me permettre de préparer le coup final. L’appareil étant un smartphone, je me fixe comme objectif d’obtenir les coordonnées GPS et de déclencher une capture via la caméra frontale. Après une petite heure de code, ma dernière action est prête à être lancée.

Ce qui est évidemment faux. Je n’ai ni créé de compte Bitcoin, ni envoyé d’argent.

Grâce aux coordonnées GPS nous savons maintenant que notre pirate opère dans un rayon de 3000km autour de la France. Une recherche dans Google Street View me donne une vue un peu plus précise du bâtiment.

Après avoir récupéré les informations, j’attends le retour de mon interlocuteur dans la conversation.

De toute évidence, son adresse Bitcoin n’a pas été créditée. Je laisse passer un peu de temps avant de lui répondre.

Par la suite je recevrais quelques relances de la part du hacker afin de savoir si ma carte était débloquée (un opérateur bienveillant, qui s’inquiète pour son client!), jusqu’à un désintérêt total de ma personne après quelques heures.