X (Twitter) : des escrocs se font passer pour des comptes officiels avec une astuce très simple

Les escrocs ont une nouvelle combine pour vous arnaquer sur X (Twitter). Ils se font passer pour des comptes légitimes très simplement, en utilisant une fonctionnalité prévue par le réseau social.

Toutes les astuces sont bonnes pour arnaquer les gens sur Internet. L'une d'elle est particulièrement efficace : prendre l'apparence, ou le compte, de quelqu'un de légitime. Parfois, pirater un profil officiel permet au hacker de repartir avec une grosse somme d'argent, en bitcoin le plus souvent. D'autres choisissent d'impersonnifier Elon Musk sur TikTok ou un autre réseau social. X (Twitter) est également touché par le phénomène. Récemment, certains escrocs ont trouvé une astuce afin de se faire passer pour un profil connu. Aucun piratage nécessaire, ils exploitent juste une fonctionnalité de la plateforme.

Quand vous postez un message sur X, l'adresse Web associée contient deux informations principales. Le nom de votre compte puis l'identifiant du post (ID), à savoir une suite de chiffres. C'est uniquement l'ID qui sert au réseau social pour savoir quoi afficher au final. Cela veut dire que n'importe qui peut créer une URL avec le nom d'un profil de son choix, tout en utilisant l'ID d'un post qui n'émane pas du profil mentionné. X va simplement rediriger vers la bonne adresse et changer lui-même le nom.

Des arnaqueurs se font facilement passer pour des profils légitimes sur X (Twitter)

Prenons un exemple. L'adresse https://twitter.com/phonandroid/status/1738106896777699464 semble être un post du profil officiel de Phonandroid. Et pourtant, si vous cliquez sur le lien, vous arriverez sur un message d'Elon Musk. Nous avons simplement pris l'identifiant de son tweet. C'est ainsi que les escrocs procèdent, en créant des adresses qui, à première vue, émanent de comptes en lien avec la cryptomonnaie (Binance, Ethereum Foundation, zkSync, Chainlink…). Sauf qu'ils renvoient à des comptes tentant de vous arnaquer.

Lire aussi – 11 000 ans de prison pour arnaque à la crypto-monnaie, la Turquie rend un verdict hallucinant

Certains vont même jusqu'à créer des faux profils ressemblant aux vrais pour éviter que vous ne remarquiez la supercherie en vérifiant l'adresse de redirection. Il s'agit du seul moyen pour être sûr de la légitimité du lien. Les utilisateurs de X sur mobile doivent donc redoubler de prudence puisque l'application X n'affiche pas d'URL. Il est peu probable que le réseau social fasse quelque chose à ce sujet, dans la mesure où la redirection est une fonctionnalité de base.

Source : BleepingComputer