🔴 Soldes d'été : jusqu'à - 50% sur le high-tech 🔴 Soldes d'été : jusqu'à - 50% sur le high-tech

Attention à cette nouvelle arnaque sur WhatsApp qui permet à des pirates de dérober votre compte

Pierre Crochart
Spécialiste smartphone & gaming
30 mai 2022 à 07h35
13
Whatsapp © MakeradeMaker / Pixabay
© Makerademaker / Pixabay

En sécurité informatique, le mieux est encore de suivre les conseils de nos parents : ne pas faire confiance aux inconnus. Et la dernière arnaque en vogue sur WhatsApp vient une nouvelle fois confirmer l’adage.

Avec ses deux milliards d’utilisateurs et utilisatrices, WhatsApp représente une cible de choix pour les pirates. Une technique très simple leur permet aujourd’hui d’obtenir l’accès à votre compte sur la messagerie instantanée.

N’appelez surtout pas ce numéro

Nous devons la découverte de cette méthode de piratage à Rahul Sasi, P.-D.G. de l’entreprise CloudSek, justement spécialisée dans la prédiction des cybermenaces.

D’après lui, la méthode mise au point par les pirates est en réalité la plus simple que l'on puisse imaginer. Mais c’est peut-être ce qui la rend la plus dangereuse, en cela qu’elle s’apparente à un scam tout ce qu’il y a de plus élémentaire.

Le mode opératoire est le suivant : un pirate appelle un numéro, et demande à la personne qui répond de composer le numéro qu’il lui donne. Si sa cible est crédule et s’exécute, c’est déjà trop tard : le hacker aura aussitôt obtenu l’accès à l’administration de son compte WhatsApp.

Une arnaque peu répandue en France

Dans le détail, Rahul Sasi explique que les pirates demandent à leurs victimes de composer un numéro qui commence soit par 45, soit par 405, ce qui aura pour effet de les déconnecter instantanément de leur compte WhatsApp et de laisser le champ libre aux cybercriminels.

Mais, vous aurez bien remarqué que ces indicatifs téléphoniques sont pour le moins baroques en France. Il y a peu de chances qu’une personne un tant soit peu sensibilisée aux mécaniques du fishing en ligne se fasse avoir. Or, ce n’est pas le cas dans tous les pays.

« Une fois que le pirate obtient l’accès au compte, il [se fait passer pour la victime] pour demander de l’argent à ses contacts », détaille Rahul Sasi. « De cette façon, le criminel abuse des contacts de la victime avant même que celle-ci ne se soit rendu compte qu’elle a perdu le contrôle de son compte. »

L’occasion de rappeler que la meilleure façon de protéger son compte WhatsApp, mais également l’intégralité de ses réseaux sociaux sur Internet, est d'appliquer un mot de passe robuste, et d’activer l’authentification à double-facteur sur tous vos comptes.

Source : 91 Mobiles

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
13
11
bmustang
où est la fiabilité de cette fraude que vous expliquez si juste un mot de passe robuste et ou un 2FA activé suffit pour s’en protéger ? J’essaie de comprendre votre article qui semble incomplet ou à faire peur aux utilisateurs ?
Felaz
Cela semble être un copycat du WhatsApp OTP scam WhatsApp OTP scam: what is it, how it affects you, and how to protect yourself | 91mobiles.com et ce n’est pas juste pour faire peur, ya des utilisateurs imprudents…
davidly
J’ai du mal à comprendre. C’est une faille WhatsApp qui permet à l’attaquant d’accéder au compte si l’utilisateur entre un code dans le clavier numérique de l’application téléphone, ou directement sur WhatsApp ?<br /> Edit : merci Felaz pour les précisions.
NumLOCK
Je n’y comprends rien.<br /> S’agit-il:<br /> A) de composer un numéro (comme le dit l’article) ? Dans ce cas, comment cette attaque est-elle censée fonctionner ? Il n’y a aucune info à ce sujet dans l’article.<br /> B) de transmettre un OTP à l’attaquant (comme le dit Felaz)? Dans ce cas, c’est du vu, revu et re-cuit…
atmen
L’article du lien de Felaz est ancien et ne semble pas correspondre au mode opératoire décrit dans l’article, envoie d’un OTP dans le chat WhatsApp au lieu d’appeler un numéro 45 ou 405. L’article n’est en effet pas très clair et manque d’analyse.
Black_Lotus_974
Comme les autres, j’ai du mal à comprendre comment taper un nombre peut déconnecter le compte (pourquoi pas) mais comment cela pourrait permettre à l’attaquant de prendre le contrôle de son compte (plus inquiétant sur ce point)
LeToi
C’est quoi la différence entre le fishing et le phishing ?
LeGrosWinnie
En fait c’est bien le principe du code de vérification sauf que c’est entièrement automatisé.<br /> Ici c’est le fait d’appeler le numéro qui va générer l’envoi du SMS automatiquement (archi simple à faire avec un serveur vocal, ça prend le numéro de l’appelant et créer la procédure de récupération de compte WhatsApp instantanément du coup vous recevez aussitôt le code), ensuite ça demande d’entrer le code de vérification reçu pour soi-disant sécuriser le compte, sauf que du coup vous aurez compris que ça fait l’effet inverse.
LeGrosWinnie
Le poisson pêché ? XD<br /> fish : poisson (to fish : pêcher).<br /> phishing avec ph prononcé comme « pf », donne donc pêcher aussi.<br /> Comme l’expression « aller à la pêche » (aux informations).<br /> En français on le traduit par « hameçonnage ».<br /> Mais ce n’est presque pas utilisé en réalité dans le langage courant, hameçonner veut dire garnir une ligne d’hameçons.<br /> Et non pas appâter quelqu’un…<br /> Bref, traduction merdique française qui perd tout sont sens qui correspond bien à la base que le pirate va à la pêche aux info.
NumLOCK
Ah, merci pour ce bon résumé LeGrosWinnie.<br /> Ces procédures d’account recovery ont beau être pratiques pour le grand public, elle constituent néanmoins une grosse faille de sécurité sur laquelle on n’a malheureusement aucun contrôle.<br /> À mon sens, les utilisateurs avertis (ceux qui sont capables de gérer correctement leur identité numérique) devraient avoir le choix de faire un « opt out » définitif (pour désactiver ces fonctionnalités) au niveau de leur compte. Ensuite plus de problèmes, plus de SMS bidon « Here is your account recovery code » tous les 3 jours, etc…<br /> Mais bon, ca fait belle lurette que les utilisateurs avertis ne sont plus le public cible des géants de l’Internet…
Black_Lotus_974
Donc si je comprends bien, c’est bien la personne arnaquée qui reçoit le code de vérification non ?<br /> Donc comment le pirate pourrait-il deviner ce code qui est envoyé au N° de téléphone de la personne arnaquée ?
Bondamanmanw
En attendant la désactivation de confirmation de lecture par contact au cas ou un dev de l’appli passerait par là.
cid1
Donc il s’agit d’entrer un num. de téléphone qu’un inconnu te donne pour se faire avoir.<br /> Si çà marche, il n’y a qu’un imbécile qui irait appeler un numéro inconnu venant d’un inconnu.<br /> Le pirate doit être un grand optimiste qui prend les gens pour des crétins, même si on sait qu’il y en a. « Some people are so gullible »
Voir tous les messages sur le forum

Lectures liées

L'application Google Home fait peau neuve sur Android et iOS
Interdiction de l'IVG aux USA : les apps de suivi du cycle menstruel vont-elles devenir des mouchards ?
iOS 16 : Apple Translate prendra en charge ces nouvelles langues
Top 5 des applications Android à installer sur son smartphone ce week-end
Samsung Pay retirée des smartphones non Samsung ?
Top 5 des applications Android à avoir sur son smartphone ce week-end !
Après WhatsApp et Telegram, c'est au tour de Snapchat de proposer une offre premium
TikTok affirme vouloir vous divertir, contrairement à Facebook qui, lui, veut vous connecter
Shazam : vous pouvez enfin consulter votre historique de reconnaissance depuis le centre de contrôle iOS
Vous devriez supprimer d'urgence ces 11 applications si elles sont sur votre smartphone Android
Haut de page