Une nouvelle technique d’escroquerie met en péril les utilisateurs de WhatsApp, permettant aux cybercriminels d’envoyer des messages en leur nom. Au moins 20 000 personnes auraient déjà vu leurs comptes compromis.
Les fraudeurs redoublent d’ingéniosité pour exploiter les failles de sécurité des plateformes de messagerie. Après la célèbre arnaque au « faux enfant », une méthode plus insidieuse a été révélée, ciblant le service WhatsApp Web. Cette faille permettrait aux pirates de prendre le contrôle des comptes pour envoyer des messages non sollicités.
WhatsApp Web pris au piège
C’est la société de cybersécurité Socket qui a mis au jour le mécanisme de cette escroquerie. Les attaquants utilisent des extensions manipulant le navigateur Google Chrome pour accéder à WhatsApp Web. Pas moins de 131 variantes de ces outils malveillants étaient disponibles sur le Chrome Web Store, cumulées, elles auraient touché plus de 20 905 utilisateurs actifs.
Ces extensions frauduleuses offraient aux escrocs un accès direct à la connexion WhatsApp Web. Une fois connectés, ils pouvaient envoyer des messages au nom des personnes piratées. Selon les experts, ces outils permettaient même de planifier l’envoi de messages, contournant ainsi les filtres anti-spam.
Malgré les alertes des experts demandant le retrait de ces extensions, celles-ci sont restées disponibles jusqu’à la publication des conclusions samedi. Nombre d’entre elles se présentaient comme des outils marketing, visant ainsi particulièrement les comptes professionnels.
WhatsApp face au spam
La plateforme de messagerie est depuis des années confrontée au fléau des escroqueries et des chaînes de messages. WhatsApp a tenté d’endiguer le phénomène par diverses mesures, notamment en limitant le nombre de renvois possibles pour les messages en chaîne. De nouvelles dispositions sont également à l’étude pour lutter contre le spam.
Selon les informations du média « Techcrunch », une limite sur le nombre de messages qu’un utilisateur ou une entreprise peut envoyer par mois devrait être bientôt introduite. Cette mesure vise à décourager l’envoi massif de messages indésirables.
Le groupe a opté pour une approche subtile. Afin de ne pas pénaliser les utilisateurs légitimes qui communiquent fréquemment, seule la quantité de messages n’ayant reçu aucune réponse après le premier contact sera prise en compte pour un éventuel blocage. Il est peu probable que cette limite soit atteinte dans le cadre d’une utilisation normale ou de contacts professionnels habituels. En revanche, les expéditeurs de spam seront sérieusement freinés.
L’expérience montre cependant que les spammeurs trouvent souvent de nouvelles méthodes. La semaine dernière, la police lettone a démantelé une ferme de serveurs utilisant plus de 40 000 cartes SIM louées pour mener des activités criminelles.
Comment se protéger
Pour se prémunir contre les tentatives de fraude, WhatsApp recommande depuis longtemps d’utiliser exclusivement les applications et extensions officielles. La protection du compte via l’authentification à deux facteurs est également essentielle.
En cas de contact par des numéros inconnus, il est conseillé d’ignorer ces messages. Si une personne que vous connaissez vous contacte via un nouveau numéro, vérifiez son identité par un autre moyen de communication avant d’engager la conversation.