Phishing YouTube : attention à la mise à jour des conditions d'utilisation
Vous avez reçu un mail de YouTube vous informant de la mise à jour de ses conditions d'utilisation ? Ne cliquez pas sur le lien : il s'agit d'une tentative de phishing, même si le message est bien envoyé par l'adresse officielle de la plateforme !
Les cybercriminels tentent souvent d'usurper l'identité des grandes plateformes d'Internet, en particulier via des campagnes de phishing – qui consistent à envoyer de faux messages pour récupérer des données bancaires ou personnelles. Et leurs méthodes sont parfois très inventives ! Les abonnés Netflix en ont récemment fait les frais avec des mails et des SMS semblant provenir du service de streaming qui les invitaient à donner leur avis sur les films et séries du catalogue. Mais d'autres escrocs ont trouvé encore mieux ! En effet, des pirates ont mis au point une arnaque particulièrement ingénieuse en usurpant l'identité de YouTube. Ces derniers jours, de nombreuses personnes ont ainsi reçu un message envoyé par la véritable adresse mail de la plateforme – à savoir no-reply@youtube.com – leur indiquant un changement de ses règles et de sa politique. La tentative d'hameçonnage – car c'en est une – est donc beaucoup plus difficile à détecter et cette campagne bien ficelée pourrait parvenir à tromper de nombreux utilisateurs...
Phishing YouTube : une usurpation d'identité difficile à détecter
À première vue, c'est un mail tout ce qu'il y a de plus normal prévenant d'un "changement dans les règles et la politique de YouTube". Il incite les victimes à cliquer sur un lien pour les consulter et télécharger le document officiel. Bien évidemment, celui-ci n'est accessible qu'à condition que les utilisateurs entrent leur mot de passe. Afin de leur mettre la pression et de les empêcher de trop réfléchir ou de remettre la manipulation à plus tard – et ainsi l'oublier –, les escrocs prennent le soin d'ajouter que "vous avez sept jours pour les lire et nous envoyer une lettre retour, sans cela, vous serez empêché d'accéder à notre service". Une fois les identifiants entrés, ils ont tout le loisir de récupérer les données personnelles et/ou d'infecter les appareils...
heads up: were seeing reports of a phishing attempt showing no-reply@youtube.com as the sender
— TeamYouTube (@TeamYouTube) April 4, 2023
be cautious & dont download/access any file if you get this email (see below)
while our teams investigate, try these tips to stay safe from phishing: https://t.co/x9Ysnm9SSm https://t.co/MNQtrB7zbx
La subtilité de cette arnaque tient au fait que le message est envoyé par la véritable adresse mail de YouTube. Toutefois, il commence par "L'équipe YouTube vous a envoyé une vidéo", ce qui est étonnant au vu de son contenu. De fait, les pirates n'ont pas créé une fausse adresse similaire à celle de la plateforme – une technique très courante dans les campagnes de phishing : ils ont simplement utilisé une option permettant de partager une vidéo par mail en y ajoutant un lien vérolé. Malin ! YouTube demande donc à ses utilisateurs d'être particulièrement prudents et de ne pas télécharger de fichier ni de cliquer sur les liens s'ils reçoivent un message de ce genre.
Rappelons que quasiment aucun site ne demande de fournir ses informations personnelles et d'entrer ses identifiants via un mail ou un SMS. À plus forte raison pour prendre connaissance des conditions d'utilisation, qui sont normalement en libre accès ! Comme toujours en cas de tentative d'hameçonnage, si vous recevez un message de ce type, n'hésitez pas à le signaler sur la plateforme Internet-Signalement du ministère de l'Intérieur.