Si les tentatives de phishing inondent nos boîtes mail – l’une des dernières en date étant une campagne de faux mails de la SNCF –, les applications de messagerie prisées du grand public ne sont épargnées. WhatsApp, utilisée par plus de 3 milliards de personnes dans plus de 180 pays, est devenue la nouvelle cible des arnaqueurs.

''Ma nièce participe à un concours'' : un lien malveillant envoyé sur WhatsApp

Sur WhatsApp, la victime reçoit un message contenant un lien. Contrairement à la plupart des tentatives de phishing, ici le message se veut rassurant et sans urgence :

''Bonjour, ma nièce participe à un concours ! Pouvez-vous voter pour elle ? Cela compte énormément pour elle.''

Il peut provenir d’un numéro inconnu, mais aussi du compte WhatsApp d’un proche qui a été piraté. Le piège se referme alors encore plus facilement : l’utilisateur, confiant, clique sur le lien sans se méfier. Il peut par exemple croire, dans le cas d’une soi-disant nièce ayant besoin de votes, à un projet associatif ou scolaire.

En cliquant sur le lien, la victime est redirigée vers un site frauduleux lui demandant de saisir son numéro de téléphone pour ''valider'' son vote. L’entreprise Kaspersky, référence en cybersécurité, explique la mécanique qui s’enclenche une fois que la victime a renseigné ses coordonnées :

''Les pirates exploitent la fonctionnalité d’identifiant à code unique de WhatsApp Web. Ils saisissent le numéro de téléphone que vous avez fourni, et WhatsApp génère un code de vérification à usage unique composé de huit caractères. Les pirates affichent immédiatement ce code sur le faux site avec les instructions suivantes : 'ouvrez WhatsApp, accédez à 'Appareils connectés' et saisissez le code'. Pour plus de facilité, il existe même un bouton permettant de copier le code dans le presse-papiers.''

La victime reçoit alors une demande de connexion sur WhatsApp pour autoriser un nouvel appareil. Une alerte apparaît à l’écran : c’est le dernier moment pour interrompre la procédure. Si la victime décide tout de même, par réflexe ou par méconnaissance, de valider, les pirates prennent immédiatement le contrôle du compte.

Et à ce stade, il est malheureusement trop tard. Les escrocs auront accès à l’ensemble des conversations de la victime, mais également à sa liste de contacts, permettant ainsi de reproduire l’arnaque et de piéger encore plus de gens. L’accès aux informations personnelles peut également déboucher sur des escroqueries encore plus graves, notamment des tentatives d’usurpation d’identité.

Arnaque sur WhatsApp : comment se protéger ?

Si vous recevez un message prétextant un étrange vote vous invitant à cliquer sur un lien, ne cliquez pas avant d’être certain de l’identité de l’expéditeur. Même si vous connaissez la personne qui vous envoie ce message, tentez de la contacter par (par SMS ou par appel), pour vous assurer qu’elle est bien à l’origine du message.

Si votre contact ne voit pas de quoi vous parlez, ne doutez plus : il s’agit d’une tentative d’arnaque. Signalez puis supprimez le message, et pensez à bloquer l’expéditeur. Pour plus de sécurité, vous pouvez également activer la vérification en deux étapes sur WhatsApp. Cela ajoutera un code PIN supplémentaire pour empêcher (ou retarder) une possible prise de contrôle du compte.

Source : Kaspersky