Risque d’attaque par hameçonnage pour les utilisateurs de Duolingo

Security Awareness
18 septembre 2023
Duolingo Phishing

Apprendre les langues, oui, mais attention aux pièges

Aujourd’hui, pour se déplacer et travailler dans le monde, il est presque obligatoire d’apprendre d’autres langues que sa langue maternelle.

Jusqu’à il y a quelques années, cela était considéré comme un investissement sur soi.
Un parcours exigeant et même coûteux. Il fallait participer à des cours reconnus, peut-être fréquenter une école en présentiel, ou souvent planifier des séjours à l’étranger. Donc, investir beaucoup de temps et d’argent.
Aujourd’hui, tout est beaucoup plus simple : le web regorge à la fois d’enseignants et de programmes ou d’applications qui, avec un engagement relatif et sans trop d’effort, promettent des apprentissages faciles, rapides et économiques.

Parmi ceux-ci, l’un des plus connus et des plus fréquentés est Duolingo, l’un des plus grands sites au monde pour apprendre les langues, avec plus de 74 millions d’utilisateurs mensuels mondiaux.

La première version bêta de Duolingo remonte au 30 novembre 2011 et avant son lancement, elle avait déjà atteint une liste d’attente de plus de 300 000 utilisateurs.
Le site a été lancé au public en juin 2012 et comptait déjà 25 millions d’utilisateurs en janvier 2014, dont environ 12,5 millions actifs. En 2013, Apple a choisi Duolingo comme « application iPhone de l’année », ce qui en fait la première application éducative à recevoir ce type de reconnaissance. Donc, une idée et une méthode réussies dès le départ.

Dommage cependant que la fiabilité de l’application bien connue ait commencé à baisser de cran à la suite d’une récente fuite de données. En effet, au début de cette année, les pirates informatiques ont obtenu les noms et adresses e-mail de 2,6 millions d’utilisateurs de l’application et vendent maintenant l’ensemble des données sur les forums clandestins pour environ 2,13 dollars, permettant ainsi à d’autres criminels de mener des attaques par hameçonnage ciblées en utilisant les noms et adresses e-mail des utilisateurs.

Dans le même temps, les pirates peuvent inciter les victimes à cliquer, en se faisant passer pour Duolingo dans leurs messages.
L’objectif est à la fois de voler de l’argent et d’utiliser des e-mails d’hameçonnage ciblés pour inciter les utilisateurs de Duolingo à installer des logiciels malveillants sur leurs appareils ou à fournir leurs informations d’identification ou leurs coordonnées bancaires, via le service de paiement appelé Super Duolingo.

Ces données ont été collectées à l’aide d’une API (Application Programming Interface – l’interface de programmation d’une application) exposée, qui a été publiée au moins depuis mars 2023.

Cette API permet à quiconque de saisir un nom d’utilisateur et de récupérer en sortie un JSON contenant les informations publiques du profil utilisateur saisi. En outre, il est également possible de saisir une adresse e-mail dans l’API et de vérifier si celle-ci est associée à un compte Duolingo valide.

Le fait est qu’il semble que cette API soit toujours disponible pour tout le monde sur le web, même après que son abus ait été signalé à Duolingo en janvier.

Donc, le problème ne semble pas résolu. Ainsi, pour l’instant, en attendant que Duolingo prenne des mesures définitives, il ne reste plus aux utilisateurs qu’à faire très attention à ne pas tomber dans la toile d’araignée.

Les conseils sont toujours les mêmes :

  • observer très attentivement les e-mails qui arrivent,
  • vérifier si l’adresse de l’expéditeur est légitime,
  • vérifier qu’il n’y a pas de fautes de grammaire et de mots mal orthographiés,
  • ne pas réagir émotionnellement à un e-mail alarmiste qui pourrait menacer une échéance ou une perte de compte et, surtout,
  • éviter de cliquer sur tout lien suspect et de télécharger des pièces jointes !

Les dangers d’internet sont de plus en plus présents et perfides.
La seule voie qui nous met certainement à l’abri des désagréments est celle d’une formation de qualité qui, non seulement fournit toutes les connaissances pour éviter de tomber dans les nombreux pièges des pirates, mais nous permet également d’être toujours « sur la bonne voie » sans être pris au dépourvu.
Car c’est précisément ce dernier facteur qui est l’arme préférée des pirates informatiques.


Abonnez-vous à la newsletter

Articles connexes

Arnaque par SMS : un éternel recommencement

Arnaque par SMS : un éternel recommencement

Le dernier cas de smishing ravive une peur qui ne doit jamais s’éteindre Plus que des armes, des visages cachés, des fuites rocambolesques et des actions dangereuses. Aujourd’hui, pour vider un compte courant, il suffit d’envoyer un SMS. La dernière victime en date a...

lire plus