Une technique rondement menée et totalement inédite ! Des hackeurs ont récemment réussi à contacter par SMS la Présidente de la Banque Centrale Européenne, Christine Lagarde, à l’aide du véritable numéro de téléphone de l’ancienne chancelière allemande Angela Merkel. Les cybercriminels ont essayé d’obtenir les codes d’authentification Whatsapp, la fameuse messagerie instantanée, de Christine Lagarde en mettant en avant des problèmes de sécurité informatique.
Tribune – Luis Corron, Avast Security Evangelist, explique : « WhatsApp est l’application de messagerie mobile la plus populaire au monde. La croissance de cette popularité s’accompagne d’une augmentation de l’action des cybercriminels qui cherchent à diffuser des arnaques de masse. Les types d’arnaques sont également de plus en plus sophistiqués, et les criminels utilisent des techniques d’ingénierie sociale pour inciter les gens à partager leurs codes de sécurité à deux facteurs afin de prendre le contrôle de leurs comptes. »
Lorsque les cybercriminels accèdent au compte de la victime
Il existe des formes connues d’escroquerie, par exemple lorsque, après avoir obtenu le numéro de téléphone de la victime, le cybercriminel passe un appel en se faisant passer pour un employé ou le support technique d’un site web reconnu, pour demander à la victime de partager un code de confirmation par SMS – mais, en fait, ce code a été envoyé par le fraudeur. En envoyant ce code à la victime via un lien WhatsApp, si la victime clique dessus, cela permettra aux cybercriminels à l’origine de l’arnaque de cloner le compte de la victime et de chercher ensuite d’autres contacts à piéger. L’utilisateur peut ainsi perdre le contrôle de son WhatsApp, tandis que le fraudeur peut lire et envoyer des messages en son nom.
Les numéros de téléphone sont faciles à trouver
La plupart des gens ne considèrent pas les numéros de téléphone utilisés par WhatsApp comme des informations confidentielles. Par conséquent, ces données peuvent être disponibles sur les profils de médias sociaux des personnes, envoyées par différents services, obtenues pour des actions marketing ou même incluses dans des fuites de bases de données et, dans ce cas, vendues sur le darknet. Même les tentatives aléatoires des cybercriminels pour trouver des combinaisons de chiffres possibles pourraient générer de bons résultats pour les escrocs.
Comment se protéger ?
- L’utilisateur doit éviter à tout prix de communiquer son numéro de téléphone sur les plateformes publiques. Si vous devez être contacté, la recommandation est de fournir l’adresse e-mail
- Activez l’authentification à deux facteurs dans les paramètres de votre compte WhatsApp. Ainsi, l’attaquant devra également saisir votre code PIN 2FA, en plus du code SMS, ce qui rendra le détournement très difficile
- Ne partagez jamais votre code d’authentification WhatsApp avec qui que ce soit, pas même avec vos amis ou votre famille – personne ne devrait demander un code de vérification, quel qu’il soit, via WhatsApp
- Si quelqu’un prétend avoir besoin de vérifier l’un de vos comptes, il s’agit probablement d’une arnaque. Si vous devez vérifier un compte, faites-le directement sur la plateforme, mais n’envoyez jamais de code de vérification via WhatsApp. Les codes d’authentification à deux facteurs ou de vérification
doivent être traités comme des mots de passe, ce qui signifie qu’ils ne doivent jamais être publiés ou partagés avec qui que ce soit
« Par conséquent, les cybercriminels peuvent envoyer des messages sur WhatsApp ou passer des appels avec des histoires impliquant les victimes, pour fournir (sans le savoir) le code d’authentification à six chiffres nécessaire pour activer le compte dans l’application de messagerie. Donc, si quelqu’un vous contacte et vous raconte une histoire qui semble trop belle, méfiez-vous : il pourrait s’agir d’une arnaque » prévient Luis Corron