Une vague de SMS frauduleux cible les utilisateurs de WhatsApp. Les cybercriminels se font passer pour le service de sécurité de l'application pour dérober des données personnelles et prendre le contrôle des comptes. Cette technique de phishing par SMS, le « smishing », est loin d'être nouvelle, mais connaît un regain d'activité.
Même joueur joue encore, ou pourquoi changer une équipe qui gagne. C'est ce qu'ont dû se dire les hackers à l'origine de cette campagne de SMS frauduleux, aussi connue sous l'anglicisme « smishing ». Le concept, émoussé, prend appui sur l'application aux 2 milliards d'utilisateurs, WhatsApp, qui leur sert d'appât.
En se faisant passer pour le support client de l'application, ils envoient de faux messages d'alerte de sécurité pour inciter les utilisateurs à cliquer sur un lien malveillant. Une tactique bien ficelée qui joue sur la peur et l'urgence pour pousser à l'action irréfléchie.
Le smishing, cette technique d'hameçonnage par SMS qui a fait ses preuves et continue de sévir
Véritable mine de connaissances en cybersécurité, le site Cybermalveillance.gouv.fr alerte : le smishing gagne du terrain. Pour rappel, cette contraction de « SMS » et « phishing » désigne une forme d'hameçonnage par texto. Le procédé des pirates est simple, ils se font passer pour un organisme de confiance (administration ou enseigne connue) et vous incitent à cliquer sur un lien ou à rappeler un numéro.
Le but, là encore, est bien sûr de soutirer vos données personnelles ou bancaires. Le SMS est un excellent vecteur d'arnaques, très « rentable ». Messages courts, impossibilité de vérifier l'expéditeur, réflexe pavlovien de cliquer... tous les ingrédients sont réunis pour vous piéger. D'autant qu'au fil du temps, ils ont poncé leur scénario : grammaire et orthographe quasiment irréprochables pour des contenus qui imitent à la perfection la charte graphique des vraies entreprises.
C'est donc ainsi que le smishing a toujours le vent en poupe. Chronopost, impôts, amendes... et maintenant WhatsApp, aucun secteur ni service ne semblent épargnés. Les pirates savent que l'application de messagerie fait partie intégrante de notre quotidien. Alors quoi de mieux pour nous faire paniquer qu'un faux message d'alerte de sécurité ?
Comment éviter les pièges du smishing ?
Ce n'est pas la première fois que WhatsApp se retrouve au cœur d'une arnaque. En 2019 déjà, une cyberattaque d'envergure avait ciblé des responsables gouvernementaux via l'application. Plus récemment, un malware capable de voler l'historique des conversations avait été dévoilé. Sans parler des fausses applications qui pullulent, au point qu'il devient difficile de distinguer le vrai du faux.
En l'occurrence, les escrocs envoient un SMS prétendument émis par le « centre de sécurité WhatsApp ». Le message alerte sur un risque pour votre compte et vous invite à cliquer sur un lien. Ne mordez pas à l'hameçon ! En suivant ce lien, vous atterrirez sur une fausse page d'aide qui vous demandera votre numéro de téléphone. L'objectif est clair : lier votre compte à l'appareil des pirates pour accéder à vos conversations.
Si vous avez malencontreusement cliqué, pas de panique. Rendez-vous dans les paramètres de WhatsApp, section « Appareils liés ». Supprimez tous les appareils suspects. Changez également votre mot de passe et activez l'authentification à deux facteurs. Enfin, prévenez vos contacts qu'un pirate a pu usurper votre identité. Et si la fraude est avérée, si vos coordonnées bancaires sont en jeu, alors faites rapidement opposition auprès de votre banque, et dans la foulée, portez plainte auprès des services de police ou de gendarmerie. Vous pouvez également saisir par courrier le procureur de la République du tribunal judiciaire de votre secteur. En cas de doute, n'hésitez pas à contacter France Victimes au 116 006, service d'aide aux victimes géré par le ministère de la Justice, qui vous conseillera gratuitement.
Enfin, et pour éviter ce genre de mésaventure, retenez bien ceci : jamais WhatsApp (ou aucun autre organisme) ne vous contactera par SMS pour des problèmes de sécurité. Les vraies notifications passent par l'application elle-même. Alors méfiance face aux messages alarmistes reçus par texto, même s'ils semblent légitimes au premier abord.
Source : Cybermalveillance.gouv, Watchlist Internet
