Apprenez à vous protéger des pirates sur WhatsApp et Telegram – 06/10/2019 – Tec
👨💻
Quelques étapes simples peuvent augmenter la sécurité lors de l’utilisation de WhatsApp et Telegram et empêcher les escroqueries qui peuvent conduire au vol de compte dans l’application – et un énorme casse-tête.
En raison de leur popularité, les applications sont la cible de fréquentes attaques de pirates. Prendre des mesures telles que l’authentification à deux facteurs (comprendre comment activer la fonctionnalité ci-dessous) peut aider à réduire les risques, bien qu’il n’y ait aucun moyen de garantir une sécurité à 100 %.
Tout commence par le plus basique : une attention supplémentaire. Lorsqu’un compte WhatsApp est activé sur un nouvel appareil, l’application envoie un SMS au numéro de téléphone enregistré avec un code de confirmation à 6 chiffres. Le message indique qu’il s’agit d’un code lié au messager et qu’il ne doit pas être transmis.
Les escrocs ont besoin de ce code pour activer le compte volé sur leurs téléphones portables et essaieront de tromper la victime de différentes manières pour l’obtenir. Ou essayez des méthodes plus sophistiquées comme le clonage de puces (pour recevoir le SMS à la place de la cible).
Le mois dernier, par exemple, la société de cybersécurité Kaspersky Lab a identifié une attaque visant les utilisateurs qui faisaient de la publicité sur des services de vente en ligne. Les criminels, en possession des données personnelles des victimes (telles que leur numéro de téléphone), les contactent comme s’il s’agissait de la plateforme de vente.
Dans le contact, les hackers allèguent un prétendu problème avec l’annonce et disent que, afin de la régulariser, il faut que l’annonceur leur passe un code qui arrivera par SMS. À ce stade, l’escroc lance le processus d’activation de WhatsApp sur son téléphone, mais en utilisant le numéro de la cible.
La victime reçoit ensuite le code de confirmation de WhatsApp sur son propre téléphone portable et transmet les données aux escrocs, croyant qu’il s’agit de quelque chose de vraiment lié à la plate-forme de vente. Avec ces informations, les criminels peuvent effectuer l’activation requise par Whats et transférer le compte. Là, vol fait.
La méthode, cependant, varie. Les criminels peuvent voler le WhatsApp d’un ami d’une cible et contacter la nouvelle victime en se faisant passer pour la personne qu’ils connaissent. Ensuite, demandez le code. Par conséquent, ne transmettez JAMAIS ce numéro qui arrive par SMS à des tiers.
Une autre astuce consiste à activer la vérification en deux étapes. Avec elle, l’utilisateur crée une séquence numérique qui lui sera demandée à chaque fois que son compte WhatsApp sera activé sur un nouveau téléphone, en plus du numéro envoyé par SMS. De cette façon, un criminel qui réussirait à voler le premier code serait pris dans cette barrière.
Pour activer la vérification en 2 étapes, allez dans « Paramètres > Compte > Vérification en 2 étapes > Activer » et suivez la procédure qui sera indiquée à l’écran. Périodiquement, WhatsApp demandera ce mot de passe pour donner accès à l’application comme une sorte de rappel.
Le processus d’activation dans Telegram est similaire. Allez dans « Paramètres > Confidentialité et sécurité > Vérification en deux étapes » et suivez la procédure, en définissant le mot de passe, une astuce à retenir et un e-mail de récupération.
Le télégramme enverra un message à l’adresse e-mail configurée avec un code de confirmation, qui doit être saisi dans l’application pour terminer le processus d’activation de la fonction de sécurité.
La sécurité du téléphone lui-même est également importante. Il est essentiel de le maintenir à jour avec un mot de passe, des applications et un système d’exploitation. Des applications spécialisées (les fameux antivirus) peuvent aider à créer des barrières supplémentaires contre d’éventuelles attaques.
Je me suis fait voler, et maintenant ?
Dans ces cas, WhatsApp vous invite à entrer dans l’application avec votre numéro de téléphone et à confirmer le code à six chiffres reçu par SMS. À ce moment, vous devez avoir accès à la ligne téléphonique.
Avec la nouvelle activation, le compte sera désactivé sur les autres téléphones portables sur lesquels il est utilisé – le téléphone des criminels, dans ce cas.
Au cours du processus, vous devrez également saisir le code de vérification en 2 étapes, s’il est configuré. Si l’utilisateur a oublié la combinaison, il doit attendre une semaine avant de pouvoir à nouveau accéder au compte.
Il est également possible de contacter l’équipe d’assistance WhatsApp en écrivant à support@whatsapp.com. L’e-mail peut être envoyé en portugais et, dans le sujet, contenir « Compte volé » et le numéro au format international (+55 indicatif régional et le numéro). Par exemple : « Compte volé / +55 11 1234-5678 ».
WhatsApp recommande d’informer les amis et la famille, car de nombreux escrocs utilisent des contacts pour demander de l’argent. L’utilisation de la confirmation en 2 étapes est également indiquée par l’application.
Comment l’attaque peut-elle se produire ?
Selon Fabio Assolini, chercheur en sécurité chez Kaspersky Lab, il existe cinq techniques possibles dont les criminels peuvent tirer parti pour voler un compte WhatsApp – et, selon lui, l’une d’entre elles aurait pu être utilisée pour pirater le téléphone de Sergio Moro.
- Accès physique : avec le téléphone portable en main, un attaquant peut obtenir toutes les informations qu’il souhaite ou installer des programmes malveillants sur le téléphone à l’insu du propriétaire, permettant l’accès à distance aux données, l’enregistrement de conversations…
- Attaque à distance : à distance, l’attaquant profite d’une certaine vulnérabilité dans les programmes ou systèmes de téléphonie mobile et peut, comme dans le cas d’un accès physique, installer quelque chose pour accéder aux données du téléphone. Un exemple en est le cas révélé par WhatsApp lui-même en mai, lorsque des pirates informatiques ont réussi à installer un logiciel de surveillance sur les téléphones en raison d’une défaillance de l’application.
- SIM Swap : c’est l’arnaque de la mode. Il s’appuie sur une personne ayant accès aux systèmes des opérateurs téléphoniques, qui transfère le numéro associé à la puce de la victime à la puce d’un autre criminel. Grâce à cela, les attaquants peuvent recevoir les SMS envoyés au téléphone et, par conséquent, au compte WhatsApp – et à d’autres systèmes qui envoient des codes par SMS, y compris la banque. Il est facile de comprendre pourquoi le téléphone de la victime « meurt » : il cesse de recevoir et de passer des appels, de se connecter à Internet et certaines applications peuvent cesser de fonctionner.
- Ingénierie sociale : est le nom formel donné à la technique par laquelle les escrocs tentent d’amener l’utilisateur à transmettre le code de vérification d’une manière ou d’une autre. C’est une alternative plus simple et moins chère que SIM Swap, car une personne ayant accès au système des opérateurs n’est pas requise.
- Protocole SS7 : est le plus sophistiqué de tous, et le plus inhabituel. Il s’appuie sur des criminels ayant une connaissance technique du protocole SS7, utilisé par les compagnies de téléphone pour le trafic d’informations. Les vulnérabilités du protocole ont été utilisées par les États-Unis pour espionner le gouvernement Rousseff, illustre Assolini. Il est possible de refléter la ligne téléphonique d’une manière discrète pour l’utilisateur – le téléphone portable fonctionne toujours normalement, mais la communication atteint également les criminels.
En raison de ces vulnérabilités, Assolini critique le fait que les applications de messagerie utilisent le numéro de téléphone comme moyen de lier une personne à son compte.
« Ces programmes de communication ont un défaut de conception. Tant que nous ne les traitons pas correctement, des cas comme celui-ci continueront d’exister », prévient-il. « Les numéros de téléphone n’ont pas été créés pour vous donner accès à une plateforme. »
Dans la mesure où elles aident, des mesures telles que l’authentification en deux étapes peuvent toujours être contournées par des incursions un peu plus élaborées, dit-il. Par conséquent, pour plus de sécurité, la recommandation serait de migrer vers une autre application, qui offre un accès non lié au numéro de téléphone. La recommandation d’Assolini est le Threema (en vente à 9,49 R$ pour Android et 10,90 R$ pour iPhone).
N’oubliez pas de partager l’article avec vos amis !