Ne votez pas à ces concours : ce sont des pièges pour pirater votre compte WhatsApp !
Méfiez-vous des concours en ligne auxquels vous participez ! Une campagne de phishing sévit actuellement, en organisant des votes afin de s'emparer de votre compte WhatsApp. Ne cliquez pas n'importe où !
Pour escroquer plus facilement leurs cibles, les cybercriminels sont en recherche constante de nouvelles techniques destinées à les approcher et à gagner leur confiance. Pour arriver à leurs fins, les malfaiteurs essaient souvent de les contacter par téléphone, sur les réseaux sociaux, par mail, mais également sur WhatsApp. En même temps, la messagerie instantanée représente une immense réserve de proies potentielles pour les cybercriminels, avec ses deux milliards d'utilisateurs dans le monde. Une nouvelle arnaque particulièrement sournoise sévit actuellement sur l'application, comme l'alertent les chercheurs de Kaspersky. Pour piéger leurs victimes, les pirates se servent de faux concours par vote.
Arnaque WhatsApp : un concours tout ce qu'il y a de plus innocent
"Les concours avec vote en ligne sont très populaires en ce moment, et les cybercriminels exploitent la confiance inspirée par cette activité en apparence inoffensive", explique Tatyana Shcherbakova, analyste de contenu Web chez Kaspersky. "En combinant l'ingénierie sociale avec des interfaces factices convaincantes, les fraudeurs utilisent l'engagement des utilisateurs comme une arme pour voler des données sensibles."
Tout commence avec une URL envoyée à la cible et qui redirige, de façon tout à fait innocente (non), vers un concours, auquel la victime est invitée à participer par le biais d'un vote. Pour endormir sa méfiance, il porte généralement sur une thématique populaire, comme une compétition sportive. Tout y est : photos de jeunes athlètes, compteur de votes et même un "compteur du nombre d'utilisateurs ayant participé en temps réel". Tout ce qu'il faut pour créer un "faux sentiment d'authenticité".
Pour ferrer un peu plus leurs poissons, les cybercriminels indiquent que ceux qui votent sont éligibles à des prix proposés par des sponsors. Or, en cliquant sur "Voter", les victimes sont renvoyées sur une autre page, qui leur soumet une authentification "rapide et simple" via WhatsApp pour pouvoir voter. Les participants doivent pour cela donner leur numéro de téléphone associé à la messagerie de Meta. Les pirates exploitent ensuite une faille de WhatsApp pour s'introduire dans les comptes via l'interface Web de la plateforme. Pour cela, ils génèrent un code à usage unique lorsque la victime tente de se connecter, puis le reproduisent sur leur site malveillant. Quand l'utilisateur saisit ce code dans l'application de son téléphone, la session Web lancée des pirates s'active automatiquement. Le compte peut alors être utilisé pour propager d'autres arnaques.
Pour éviter de vous faire avoir, il est recommandé de faire preuve de prudence sur les sites Web inconnus, surtout s'il faut renseigner des informations personnelles et que l'on est arrivé dessus par le biais d'un lien. Mais l'idéal est d'activer l'identification à double facteur en allant dans "Paramètres", puis "Compte", puis "Vérification en deux étapes", et enfin "Activer". Cela permet d'ajouter une couche de protection supplémentaire.