Des cybercriminels diffusent une nouvelle arnaque sur WhatsApp qui exploite les concours et votes organisés sur la messagerie pour pirater et récupérer des comptes utilisateurs. Une technique encore une fois très sournoise.
Voter pour votre athlète préféré pourrait bien vous coûter votre compte WhatsApp. Les experts en cybersécurité de Kaspersky viennent de mettre au jour une campagne de phishing particulièrement sournoise, qui transforme l'innocence du vote en ligne et des concours en piège numérique. Les fraudeurs adaptent toujours et encore leurs techniques pour mieux tromper leurs victimes, cette fois en détournant l'interface web de la messagerie du groupe Meta.
Des pages de vote trompeuses mènent au piratage WhatsApp
L'arnaque débute par une redirection anodine vers une page web qui donne l'illusion de participer à un concours par vote. Les cybercriminels misent plutôt sur des thématiques populaires, notamment des compétitions sportives qui mettent en scène de jeunes athlètes. Ces pages factices affichent photos, boutons de vote et compteurs d'utilisateurs participants en temps réel, et promettent même des prix de « sponsors ».
En cliquant sur « Voter » ou « Autoriser », l'utilisateur bascule vers une interface frauduleuse qui soumet une authentification « rapide et simple » via WhatsApp. La page demande alors le numéro de téléphone associé au compte de messagerie. C'est cette étape qui permet aux pirates d'amorcer leur stratégie d'infiltration sans éveiller les soupçons.
Les fraudeurs exploitent ensuite une faille de l'interface web de WhatsApp pour s'introduire dans les comptes. Ils génèrent un code à usage unique lorsque la victime tente de se connecter, puis le reproduisent sur leur site malveillant. Quand l'utilisateur saisit ce code dans l'application de son smartphone, la session web lancée par les pirates s'active automatiquement.
Les recommandations essentielles face aux arnaques de vote WhatsApp
« Les concours avec vote en ligne sont très populaires en ce moment, et les cybercriminels exploitent la confiance inspirée par cette activité en apparence inoffensive, explique Tatyana Shcherbakova, analyste de contenu web chez Kaspersky. En combinant l'ingénierie sociale avec des interfaces factices convaincantes, les fraudeurs utilisent l'engagement des utilisateurs comme une arme pour voler des données sensibles. »
L'activation de la vérification en deux étapes est la première ligne de défense recommandée par les experts. Cette authentification à deux facteurs native de WhatsApp nécessite un code PIN supplémentaire pour accéder au compte, ce qui crée une barrière efficace contre les intrusions. La vérification systématique des adresses URL s'avère aussi cruciale, surtout pour les liens reçus via messages non sollicités.
La règle d'or demeure absolue selon les experts reste que WhatsApp ne demande jamais de communiquer les codes de vérification à des tiers. Aucun code ne doit être partagé, même si la demande semble provenir d'une source fiable.
