Kaspersky a découvert une nouvelle campagne de phishing ciblant les utilisateurs de WhatsApp à l'aide d'un système de vote frauduleux. L’opération consiste à attirer les victimes potentielles via des pages de vote supposées, consacrées entre autres à de jeunes athlètes, bien que d’autres thèmes de vote soient également exploités. La méthode peut être facilement adaptée à différents scénarios, avec pour objectif le piratage de comptes WhatsApp.
L'arnaque débute par une redirection de l'utilisateur vers une page web qui simule un concours par vote. Dans un des cas recensés, la page présente des photos d'athlètes, chacune accompagnée d'un bouton « Vote » et de compteurs affichant le nombre total de votes et le nombre d'utilisateurs ayant participé en temps réel. Ces éléments créent un faux sentiment d'authenticité, poussant les utilisateurs à interagir avec la page. Celle-ci affirme également que tout le monde peut participer au concours après avoir validé leur participation, les gagnants recevant des prix de la part des « sponsors ».
En cliquant sur les boutons « Voter » ou « Autoriser », les utilisateurs sont redirigés vers une page web frauduleuse qui les encourage à s'authentifier « rapidement et simplement » via WhatsApp. Ils sont invités à saisir leur numéro de téléphone mobile associé à WhatsApp. Les fraudeurs exploitent ensuite une faille de WhatsApp pour s'introduire dans les comptes via l'interface web de la messagerie. Ils utilisent un code à usage unique généré lorsque la victime tente de se connecter, et le reproduisent sur un site web frauduleux pour s'authentifier. Lorsque l'utilisateur saisit ce code dans l'application sur son smartphone, la session web lancée par les pirates est activée, leur permettant d'espionner la victime, d'écrire des messages, et de prendre le contrôle du compte.
« Les concours avec vote en ligne sont très populaires en ce moment, et les cybercriminels exploitent la confiance inspirée par cette activité en apparence inoffensive. En combinant l'ingénierie sociale avec des interfaces factices convaincantes, les fraudeurs utilisent l'engagement des utilisateurs comme une arme pour voler des données sensibles. La sensibilisation et la vigilance sont essentielles pour rester en sécurité », commente Tatyana Shcherbakova, analyste de contenu Web chez Kaspersky.
Pour se protéger contre ce type d'arnaque, Kaspersky fait les recommandations suivantes :
● Activez la vérification en deux étapes : activez l’authentification à deux facteurs de WhatsApp pour ajouter un niveau de sécurité supplémentaire, qui nécessite un code PIN pour accéder au compte.
● Vérifiez l'authenticité des sites web : évitez de saisir des informations personnelles sur des sites web inconnus, en particulier ceux auxquels vous accédez via des liens non sollicités. Vérifiez toujours les adresses URL des liens sur lesquels vous cliquez.
● Ne communiquez jamais vos codes de vérification : WhatsApp ne vous demandera jamais votre code de vérification. Ne le communiquez à personne et n'acceptez aucun code, même s'il vous est envoyé par une source apparemment fiable.
● Utilisez un logiciel de sécurité fiable et éprouvé pour détecter et bloquer les sites web et les liens malveillants.
