Une nouvelle menace plane sur les utilisateurs de la messagerie WhatsApp. Les experts en sécurité de Kaspersky ont identifié une campagne de phishing s'appuyant sur des systèmes de vote frauduleux, pour voler l'accès aux conversations et aux données personnelles.
Le mécanisme de l'arnaque
Tout commence par un lien menant vers une page web qui imite un concours en ligne. Un exemple recensé et cité est un vote pour des athlètes, mais d'autres thématiques sont également exploitées.
La page est conçue pour inspirer confiance. Des photos, des boutons pour voter, tandis que des compteurs en temps réel affichent le nombre de participants. Lorsque la victime clique pour voter, elle est redirigée vers une autre page lui demandant de s'authentifier rapidement via WhatsApp en entrant son numéro de téléphone.
Ce numéro est utilisé pour lancer une connexion à WhatsApp Web. Un code à usage unique est alors envoyé sur le téléphone de la victime, et le site frauduleux lui demande de le saisir. En entrant ce code, l'utilisateur donne sans le savoir l'accès complet de son compte aux attaquants.
L'ingénierie sociale au cœur du piège
L'attaque repose moins sur une vulnérabilité de sécurité que sur la manipulation psychologique. Les concours en ligne sont une activité perçue comme anodine, ce qui peut endormir une certaine vigilance des utilisateurs.
Le faux sentiment d'authenticité et la promesse de prix de la part de « sponsors » pour des gagnants finissent de convaincre les plus hésitants.
« En combinant l'ingénierie sociale avec des interfaces factices convaincantes, les fraudeurs utilisent l'engagement des utilisateurs comme une arme pour voler des données sensibles. La sensibilisation et la vigilance sont essentielles pour rester en sécurité », déclare Tatyana Shcherbakova, analyste de contenu web chez Kaspersky.