Le piratage de compte Instagram est monnaie courante de nos jours. Beaucoup de comptes de stars se font pirater pour faire passer un message, ou encore des comptes de particuliers pour d’autres raisons. Il consiste à tromper la victime avec des techniques très subtiles. Le piratage est, en général, fait à travers l’utilisation d’un enregistreur de frappe, ou par attaque par phishing.
Utilisation de l’enregistreur de frappe
C’est la méthode la plus connue pour pirater des comptes. Les hackers utilisent un keylogger pour enregistrer les touches frappées sur un clavier. Lorsque la victime se connectera à son compte, toutes ses informations de connexion seront enregistrées grâce à ce keylogger. En plus de cela, il enregistrera d’autres informations sensibles telles que des messages ou des stories.
C’est en général fait de manière furtive afin que l’utilisateur ne se rende pas compte que ses actions sont sous surveillance. Il en existe beaucoup sur le marché comme le keylogger S Pyrex, ou le PC Tattletale.
Sur Internet, il est également possible de trouver des enregistreurs de frappe gratuits ou payants. Pour un keylogger gratuit, on retrouve le Smart Keylogger. Afin d’afficher les données, il faut nécessairement accéder à nouveau à l’appareil de la victime.
Télécharger un enregistreur de frappe pour ordinateur
Il faut télécharger le logiciel nécessaire sur le site officiel du keylogger désiré. Il n’est pas demandé de créer un compte avant de l’utiliser.
Voici les étapes pour télécharger le logiciel :
- Cliquer simplement sur le lien de téléchargement ;
- Cliquez sur le bouton Exécuter pour installer votre keylogger ;
- Accepter le contrat de licence ;
- Terminer l’installation.
Si ces étapes sont respectées, le keylogger devrait s’ouvrir automatiquement.
Installer un enregistreur de frappe sur un smartphone ou une tablette
La partie de l’installation peut paraître compliquée, surtout si le hacker n’est pas une personne technique. Voici les étapes pour installer un enregistreur de frappe intelligent sur n’importe quel appareil Android.
Il faut d’abord l’installer depuis le Play Store. Il vous invitera ensuite à créer un compte et s’y connecter avec le mot de passe créé. Une fois le mot de passe saisi, il sera demandé d’activer l’accessibilité. Cette activation ouvrira les paramètres du téléphone et il faudra ici activer le keylogger intelligent.
Accéder aux données à pirater
Après l’installation terminée, peu importe ce que la victime tapera sur son smartphone, l’enregistreur de frappe intelligent enregistrera en texte simple. Il est possible d’y accéder à tout moment en ouvrant un enregistreur de frappe intelligent, puis en tapant le mot de passe.
Cette application est également verrouillable afin que personne d’autre ne puisse accéder aux données de la personne hackée. Il existe de nombreux lanceurs disponibles dans le Play Store qui peuvent masquer cette application.
Pour protéger son plan, il est important de garder son appareil à jour. Les mises à jour sont presque plus importantes que les antivirus.
L’attaque par phishing
Le phishing est la méthode la plus ancienne pour pirater des comptes. Dans la méthode de phishing, les pirates créent un site Web qui ressemble au site d’origine. Ici, les hackers sont capables de créer un site similaire à Instagram. Lorsque les victimes se connectent avec leur nom d’utilisateur et leur mot de passe, elles sont redirigées vers le site d’origine sans qu’elles ne s’en rendent compte. Le pirate recevra alors les informations de connexion.
Créer une page de phishing sur Instagram
De nos jours, le navigateur moderne commence à avertir les utilisateurs lorsqu’ils visitent des sites de phishing. C’est pourquoi il faut s’assurer de télécharger le script de phishing d’un site sécurisé.
D’un autre côté, les sociétés d’hébergement gratuit lancent également des comptes suspendus qui utilisent des scripts de phishing. Il n’y a aucun moyen de contourner cela. La seule solution est d’utiliser un hébergement payant.
Si le hacker achète un hébergement auprès d’une entreprise réputée pour le phishing, le compte sera alors suspendu. Cependant, si il l’achète auprès d’une petite entreprise en démarrage, il ne rencontrera aucun problème. Les hébergements hostspell et digitalocean sont les plus réputés.
Les hébergements gratuits existent également. On peut retrouver 000webhost. L’hébergement gratuit permet le phishing pendant un certain temps.
Pour le phishing sur Instagram, il est également nécessaire de faire du phishing sur Facebook. De nombreux utilisateurs se connectent encore à Instagram en utilisant Facebook.
Pour créer la page 000webhost, il faut simplement s’assurer de ne pas installer WordPress, ou de ne pas utiliser de créateur de site Web.
Téléchargement
Il faut se connecter à son compte 000webhosting et trouver le gestionnaire de fichiers.
L’étape suivante est d’ouvrir et d’accéder au dossier public_html et de télécharger le script de phishing.
Accéder aux données de la victime
Après le téléchargement, il faut suivre les étapes suivantes :
- Sélectionner le fichier ;
- Sélectionner l’icône Extraire ;
- Cliquer sur la touche “point” du clavier pour déterminer l’emplacement.
Parfois, 00 webhost ne permet pas d’extraire des fichiers. Il faut alors extraire des scripts de phishing sur l’appareil. Ensuite, le téléchargement de tous les fichiers à la fois est nécessaire, il n’y a pas de sous-dossier.
L’étape suivante est d’accéder à “Mes sites”, ouvrir l’URL du site qui affichera le message suivant : “votre identifiant est incorrect”. Si ce message apparaît, cela signifie que tout a été fait correctement. Ensuite, à la fin de l’url, il faut écrire : ?id=instagram. La formule ressemblera à : example.com/ ?id=instagram. Elle permettra d’ouvrir une page similaire à la page suivante.
Si la victime clique sur « se connecter avec Instagram », cela ouvrira une page de phishing Facebook. Lorsque l’utilisateur se connecte au compte, son nom d’utilisateur et son mot de passe seront enregistrés automatiquement dans le fichier users.txt. Il est possible d’accéder à ce fichier en tapant : yourwebsites..com/users.txt.
Lorsque l’on souhaite afficher le phishing sur Facebook, il suffit d’écrire ?id=facebook à la fin de l’URL. Lorsque l’on souhaite accéder à la page de phishing d’ Instagram, il faut taper ?id=Instagram à la fin de l’URL.
Les informations de connexion Facebook seront également enregistrées dans le fichier users.txt. Il est possible également d’appliquer Cloudflare pour HTTPS, aussi appelé certificat SSL. Il convainc les utilisateurs que le site est sûr à utiliser.
Il est important de toujours vérifier l’URL avant de se connecter et de n’ouvrir aucun lien de source inconnue
Autre astuce pour pirater un compte Instagram.
L’ingénierie sociale est basée sur la culture et l’usage du bon sens. Cette même ingénierie combinée avec les méthodes ci-dessus peuvent être utiles pour convaincre la victime de se connecter à la fausse page ou à installer un enregistreur de frappe ou keylogger.
En d’autres termes, il s’agit de pirater des comptes grâce à la psychologie. Beaucoup de gens définissent un mot de passe en utilisant le nom de ses parents par exemple, avec un mélange d’autres caractères. D’autres utilisent leur date de naissance, le nom de leur enfant ou encore le nom de leur animal de compagnie. Énormément de personnes utilisent le même mot de passe pour chaque compte, ce qui est très dangereux pour les utilisateurs mais une aubaine pour les pirates de comptes. Donc, si vous pouvez obtenir le mot de passe d’autres comptes, vous pourriez obtenir leur compte Instagram.
