Ce qui est souvent négligé dans les messages directs Instagram ce ne sont pas les annonces, mais les « messages qui semblent normaux ».
Sur Instagram, la plupart des gens sont habitués à voir des publicités, des recommandations de suivi ou des messages de marques. Mais ce qui pose surtout problème, ce ne sont pas les contenus publics, mais les messages privés (DM). Surtout ceux qui semblent « très amicaux » ou « très raisonnables », comme : - Vous avez gagné un cadeau gratuit. - Votre compte a été sélectionné pour un concours. - Propositions de collaboration de marque. - Réception de bénéfices limités. - Droits d'abonnement ou d'essai gratuits. - Confirmation d'identité immédiate requise. Ces messages sont généralement accompagnés d'un lien, semblant être une page de connexion Instagram, un site officiel de marque ou une page d'événement. Mais en réalité, leur but n'est pas d'offrir des cadeaux, mais de vous guider vers un « processus de connexion falsifié ».
Pourquoi les mots « gratuit » sont-ils particulièrement dangereux ?
Les gens baissent leur garde face au « gratuit ». Lorsque vous voyez un cadeau gratuit, une collaboration gratuite ou un concours gratuit, votre esprit pense souvent « je vais d'abord vérifier », plutôt que de douter de leur authenticité. Cette fenêtre psychologique est précisément celle que ces escroqueries exploitent le plus souvent. Sur Instagram, Facebook, TikTok, Telegram ou WhatsApp, ces messages sont souvent conçus pour : - Utiliser des noms de comptes qui semblent normaux. - Utiliser un logo de marque ou un profil imité. - Utiliser un anglais simple ou un ton officiel. - Fournir un lien court ou un faux site web. Une fois que vous cliquez dessus, vous pourriez être amené à une page de connexion semblant être celle d'Instagram.
Les pages de phishing ne volent pas directement les informations, mais vous guident étape par étape.
Beaucoup de gens pensent que leur compte a été piraté simplement parce qu'ils ont saisi leur mot de passe. Mais en réalité, le processus de phishing est souvent plus fin ; il se divise en plusieurs étapes : Étape 1 : Vous faire vous connecter. La page ressemble à Instagram, Google ou Facebook, et vous demande d'entrer votre nom d'utilisateur et votre mot de passe. Étape 2 : Créer un motif de sécurité. Par exemple, « besoin de vérifier votre identité », « confirmer que le compte n'est pas un robot », « déverrouiller le prix ». Étape 3 : Demander un code de vérification. Si vous avez activé l'authentification à deux facteurs, l'étape suivante pourrait vous demander d'entrer un code SMS ou d'authentification. Une fois que vous entrez ce code dans la fausse page, l'attaquant pourrait alors se connecter sur le véritable Instagram ou Google.
Pourquoi le compte Instagram est-il particulièrement ciblé ?
Un compte Instagram n'est pas seulement un compte social, il peut également être lié à : - Page Facebook. - Meta Business Suite. - Compte publicitaire. - Ressources de collaboration de marque. - Historique des messages privés avec les clients. - Liens de commerce électronique. Pour les attaquants, un compte Instagram bien géré a une valeur bien supérieure à ce que les gens imaginent. Par conséquent, pour les créateurs, les petites entreprises ou les comptes avec beaucoup de trafic, le « phishing par message direct » est souvent plus commun que la connexion par force brute, car cela ne nécessite pas de pirater le système ; il suffit de convaincre l'utilisateur d'entrer ses informations.
Comment déterminer si un lien dans un message direct Instagram est sécurisé ?
Il n'est pas nécessaire d'être très technique ; vous pouvez utiliser quelques habitudes simples pour évaluer : 1. Les officiels ne demandent pas de se connecter via des messages directs étranges. Les véritables notifications d'Instagram ou de Meta apparaissent généralement dans le centre de notifications de l'application, et non dans les messages privés d'un compte inconnu. 2. Vérifiez si le domaine du lien semble bizarre. Par exemple, s'il ne s'agit pas de instagram.com, facebook.com ou du site officiel de la marque, mais d'une URL qui ressemble à quelque chose de semblable mais dont l'orthographe est différente. 3. Est-ce qu'on vous demande d'entrer un code de vérification ? Toute page qui vous demande de « fournir un code de vérification SMS » devrait être abordée avec beaucoup de prudence. 4. Existe-t-il un sentiment d'urgence ? Par exemple, « à réclamer dans les 5 minutes », « sinon, la qualification expirera », ce genre de conception est souvent utilisé pour réduire le temps de jugement.
Que faire si vous avez déjà cliqué ou entré des informations ?
Si vous avez juste cliqué sur le lien sans entrer d'informations, le risque est généralement faible. Vous pouvez fermer la page et vérifier l'historique de connexion de votre compte Instagram. Mais si vous avez saisi : - Mot de passe - Email - Code de vérification SMS - Informations d'identification Google / Facebook Vous devriez immédiatement : 1. Changer votre mot de passe Instagram. 2. Vérifier les appareils connectés. 3. Supprimer les autorisations tierces suspectes. 4. Activer ou reconfigurer l'authentification à deux facteurs. 5. Vérifier si votre email a également des connexions suspectes. Si plusieurs plateformes ont été touchées (Instagram + Email + Facebook), il est conseillé d'organiser clairement la chronologie des événements pour faciliter le suivi des origines.
La sécurité sociale repose en fait sur « prendre un peu plus de temps ».
Ces messages sont efficaces non pas en raison de leur technologie avancée, mais parce que les gens ont tendance à prendre des décisions trop rapidement. Lorsque vous voyez « gratuit », « collaboration », « concours », « cadeau », prenez une seconde supplémentaire ; cela peut vous éviter la plupart des risques. Le problème avec les messages directs Instagram n'est pas le lien lui-même, mais comment il emballe le risque en tant que « bonne nouvelle ».