WeChat, géant chinois de la messagerie, est en train de subir une hausse spectaculaire des attaques de phishing. Ces dernières se mondialisent, avec des e-mails dans un anglait parfait, qui fait des victimes.
L'application WeChat, qui permet de discuter avec ses amis, payer son café ou réserver un taxi en Chine, attire désormais les cybercriminels du monde entier, qui multiplient les campagnes de phishing. Comme KnowBe4Threat l'apprend à Clubic en exclusivité, le taux d'e-mails frauduleux détectés comportant des QR codes WeChat a, en à peine un an, explosé en Europe et aux États-Unis. Ces attaques sophistiquées combinent à la fois l'ingénierie sociale, l'intelligence artificielle et les paiements mobiles difficiles à tracer pour escroquer les victimes.
Une explosion du phishing WeChat en Occident
Dans le détail, l'an dernier, à peine 0,04 % des e-mails frauduleux interceptés aux États-Unis et en Europe intégraient ces fameux QR codes WeChat qui invitent à « ajouter un contact ». Depuis janvier 2025, le compteur affiche 1,43 %, avec une pointe vertigineuse à 5,1 % en novembre. Cela représente une hausse de 3 475 % en quelques mois seulement.
Si WeChat est une application chinoise, avec 1,4 milliard d'utilisateurs actifs, les tentatives des escrocs dépassent les barrières linguistiques. Sur dix messages piégés par exemple, six sont rédigés dans un anglais impeccable, loin des fautes grossières d'antan. Un sur quinze utilise même d'autres langues occidentales. Les escrocs ne se contentent donc plus de cibler la diaspora chinoise, ils visent désormais tout le monde, partout.
Sans surprise, on retrouve derrière cela la signature de l'intelligence artificielle générative. Des modèles linguistiques comme ERNIE Bot, développé par le géant de l'empire du Milieu Baidu, permettent de générer des textes convaincants en n'importe quelle langue. Plus besoin de maîtriser l'anglais pour berner un Américain ou un Européen. La machine s'en charge, et elle est efficace, puisqu'elle produit des messages indétectables à l'œil nu.
Du mail anodin à la manipulation psychologique : comment les cybercriminels manipulent leurs victimes
Le scénario des hackers suit toujours le même schéma, et ce dernier est bien rodé. Tout démarre par un e-mail d'apparence professionnelle, généré à l'aide d'un kit de phishing chinois sobrement baptisé en français « expéditeur en masse ». Le message intègre un authentique QR code WeChat et utilise des appâts irrésistibles, comme un poste d'assistant administratif en télétravail avec salaire alléchant, une opportunité commerciale exclusive, un conseil en investissement personnalisé ou un partenariat stratégique à saisir rapidement.
Une fois connecté sur WeChat, l'arnaqueur reste subtile, sans se précipiter. Il engage une vraie conversation avec sa proie, pose des questions sur son parcours, se montre attentif et professionnel. Cette phase de mise en confiance peut durer jusqu'à plusieurs jours. L'idée est de créer un climat de confiance suffisant pour que la victime accepte finalement de transférer de l'argent, souvent sous des prétextes variés et créatifs.
KnowBe4 documente un exemple qui nous permet de bien comprendre la mécanique. Après avoir discuté du poste d'assistant administratif, l'escroc finit par demander à l'utilisateur 75 dollars pour procéder à une « vérification des antécédents », somme prétendument remboursable le jour même si le casier judiciaire est vierge. Une somme modeste, non alarmante pour certains, mais qui sert surtout de test. Car si la victime paye, elle devient une cible privilégiée pour des demandes plus conséquentes par la suite, le hacker ayant fait sauter le verrou psychologique.
Pourquoi récupérer votre argent après une arnaque WeChat relève de l'impossible
La clé de voûte de cette arnaque se trouve dans le système de paiement. WeChat Pay fait de l'application un véritable couteau suisse financier, qui permet notamment d'effectuer des virements instantanés entre utilisateurs. S'il est très au quotidien pour les Chinois, ce service se transforme ici en cauchemar pour les victimes, puisqu'une fois l'argent envoyé, il est impossible d'annuler le mouvement ni de récupérer la somme. Contrairement à un virement bancaire classique que votre banque peut parfois bloquer, ici tout est définitif et ne prend que quelques secondes.
L'écosystème fermé de Tencent, le propriétaire de WeChat, complique encore plus les choses. Contrairement aux banques traditionnelles soumises à des régulations strictes, WeChat conserve toutes les données (identités, historiques de conversations, détails des paiements) dans ses propres serveurs en Chine. Pour les autorités occidentales, mener une enquête transfrontalière relève du parcours du combattant. Et récupérer les fonds volés devient quasiment mission impossible.
Les escrocs font basculer leurs victimes de l'e-mail à WeChat pour une raison simple : échapper à la surveillance. Les e-mails professionnels sont généralement analysés par des filtres de sécurité qui repèrent les arnaques. Mais ces systèmes ne voient rien de ce qui se passe dans WeChat. L'arnaqueur peut alors opérer librement, hors de portée des protections installées, par exemple, par l'entreprise de la personne ciblée.
Se défendre contre cette nouvelle génération d'arnaques
KnowBe4 estiment que les filtres antispam classiques montrent leurs limites face à ces e-mails techniquement irréprochables. Des solutions d'analyse comportementale basées sur l'intelligence artificielle peuvent détecter les signaux faibles, admettons un ton trop enthousiaste, une demande inhabituelle de poursuivre l'échange sur une plateforme externe, ou des promesses disproportionnées par rapport au contexte. Le principe du « zero-trust », qui consiste à ne faire confiance à rien par défaut, doit devenir la norme pour toute communication professionnelle inattendue.
Mais c'est bien la sensibilisation humaine qui reste la plus efficace. Chacun doit comprendre que WeChat, malgré son statut d'application légitime utilisée par plus d'un milliard de personnes, peut servir de vecteur d'attaque. Toute sollicitation professionnelle qui demande de poursuivre un échange sur cette messagerie doit éveiller la méfiance. Des formations régulières, des simulations d'attaque et des alertes contextuelles permettent de maintenir cette vigilance collective, au sein des entreprises notamment, comme l'explique KnowBe4.
Il faut aussi apprendre les signaux d'alerte techniques, qui existent aussi. Un e-mail provenant d'une adresse changeante, un domaine sans authentification SPF ou DKIM, un corps de message encodé en Base64, ou la présence d'un QR code comme seul élément interactif sont autant d'indices qui, combinés, trahissent l'utilisation de ces kits de phishing automatisés. C'est en mélangeant la technologie au bon sens humain que l'on peut espérer endiguer cette vague qui, selon les experts, ne montre aucun signe de ralentissement, bien au contraire.
