Cyber-guru

Risque d’attaque par hameçonnage pour les utilisateurs de Duolingo

par | Sep 18, 2023

Duolingo Phishing

Apprendre les langues, oui, mais attention aux pièges

Aujourd’hui, pour se déplacer et travailler dans le monde, il est presque obligatoire d’apprendre d’autres langues que sa langue maternelle.

Jusqu’à il y a quelques années, cela était considéré comme un investissement sur soi.
Un parcours exigeant et même coûteux. Il fallait participer à des cours reconnus, peut-être fréquenter une école en présentiel, ou souvent planifier des séjours à l’étranger. Donc, investir beaucoup de temps et d’argent.
Aujourd’hui, tout est beaucoup plus simple : le web regorge à la fois d’enseignants et de programmes ou d’applications qui, avec un engagement relatif et sans trop d’effort, promettent des apprentissages faciles, rapides et économiques.

Parmi ceux-ci, l’un des plus connus et des plus fréquentés est Duolingo, l’un des plus grands sites au monde pour apprendre les langues, avec plus de 74 millions d’utilisateurs mensuels mondiaux.

La première version bêta de Duolingo remonte au 30 novembre 2011 et avant son lancement, elle avait déjà atteint une liste d’attente de plus de 300 000 utilisateurs.
Le site a été lancé au public en juin 2012 et comptait déjà 25 millions d’utilisateurs en janvier 2014, dont environ 12,5 millions actifs. En 2013, Apple a choisi Duolingo comme « application iPhone de l’année », ce qui en fait la première application éducative à recevoir ce type de reconnaissance. Donc, une idée et une méthode réussies dès le départ.

Dommage cependant que la fiabilité de l’application bien connue ait commencé à baisser de cran à la suite d’une récente fuite de données. En effet, au début de cette année, les pirates informatiques ont obtenu les noms et adresses e-mail de 2,6 millions d’utilisateurs de l’application et vendent maintenant l’ensemble des données sur les forums clandestins pour environ 2,13 dollars, permettant ainsi à d’autres criminels de mener des attaques par hameçonnage ciblées en utilisant les noms et adresses e-mail des utilisateurs.

Dans le même temps, les pirates peuvent inciter les victimes à cliquer, en se faisant passer pour Duolingo dans leurs messages.
L’objectif est à la fois de voler de l’argent et d’utiliser des e-mails d’hameçonnage ciblés pour inciter les utilisateurs de Duolingo à installer des logiciels malveillants sur leurs appareils ou à fournir leurs informations d’identification ou leurs coordonnées bancaires, via le service de paiement appelé Super Duolingo.

Ces données ont été collectées à l’aide d’une API (Application Programming Interface – l’interface de programmation d’une application) exposée, qui a été publiée au moins depuis mars 2023.

Cette API permet à quiconque de saisir un nom d’utilisateur et de récupérer en sortie un JSON contenant les informations publiques du profil utilisateur saisi. En outre, il est également possible de saisir une adresse e-mail dans l’API et de vérifier si celle-ci est associée à un compte Duolingo valide.

Le fait est qu’il semble que cette API soit toujours disponible pour tout le monde sur le web, même après que son abus ait été signalé à Duolingo en janvier.

Donc, le problème ne semble pas résolu. Ainsi, pour l’instant, en attendant que Duolingo prenne des mesures définitives, il ne reste plus aux utilisateurs qu’à faire très attention à ne pas tomber dans la toile d’araignée.

Les conseils sont toujours les mêmes :

  • observer très attentivement les e-mails qui arrivent,
  • vérifier si l’adresse de l’expéditeur est légitime,
  • vérifier qu’il n’y a pas de fautes de grammaire et de mots mal orthographiés,
  • ne pas réagir émotionnellement à un e-mail alarmiste qui pourrait menacer une échéance ou une perte de compte et, surtout,
  • éviter de cliquer sur tout lien suspect et de télécharger des pièces jointes !

Les dangers d’internet sont de plus en plus présents et perfides.
La seule voie qui nous met certainement à l’abri des désagréments est celle d’une formation de qualité qui, non seulement fournit toutes les connaissances pour éviter de tomber dans les nombreux pièges des pirates, mais nous permet également d’être toujours « sur la bonne voie » sans être pris au dépourvu.
Car c’est précisément ce dernier facteur qui est l’arme préférée des pirates informatiques.


Poster le commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Actualités

Nous sommes fiers d’annoncer que Cyber Guru figure dans le prestigieux classement « Top 100 des entreprises EdTech 2025 » du magazine TIME et de Statista.

AWARENESS TRAINING

  • Awareness

    Formation continue pour développer les connaissances et la sensibilisation

  • Channel

    Une expérience de formation immersive, sous forme de série télévisée

  • Chatbot NEUF

    NEUF Mode conversationnel pour la formation sur le lieu de travail

COMPLIANCE TRAINING

PHISHING TRAINING

  • Phishing

    Formation adaptative personnalisée

  • PhishPro

    L'add-on pour une formation avancée

REAL TIME AWARENESS

Cyber Advisor NEUF

Assistant GenAI en cybersécurité Découvrez Guru, l'assistant IA spécialisé en cybersécurité!

RESSOURCES

CLIENTS

RESSOURCE À LA UNE

Livre électronique

Cyber Guru Academy Content Creators

Des contenus qui font la différence Concevoir, planifier et produire des contenus formatifs capables de susciter l'intérêt, l'implication et la motivation à apprendre est un défi quotidien pour le département Academy de Cyber Guru. Car il est désormais clair que pour former les personnes à se défendre contre la cybercriminalité, une plateforme attrayante et une multitude de contenus ne suffisent pas.