Avec 3 milliards d’utilisateurs actifs dans le monde et 24 millions en France, WhatsApp est devenu l’un des terrains de chasse favoris des cybercriminels. Si les messages sont chiffrés de bout en bout, cette forteresse numérique est impuissante face à l’ingénierie sociale et aux arnaques de type ghost pairing (jumelage fantôme en français).
Sournois et indétectable, ce mode de piratage offre aux cybercriminels un accès en temps réel à toutes vos discussions et leur permet de mener à votre encontre et sur vos proches des attaques de phishing ultra-personnalisées. Par chance, avec les bons outils, il est possible de les contrer avant qu’ils n’entrent sur votre messagerie.
Ghost pairing : le processus décrypté étape par étape
Tout commence par la réception d’un message WhatsApp provenant de l’un de vos contacts (ayant au préalable été piraté) et vous invitant à consulter une photo Facebook. Bref et mystérieux, ce message est fait pour attiser votre curiosité.
L’émetteur étant connu, vous cliquez en toute confiance sur ce lien et arrivez sur une page très épurée, reprenant dans les grandes lignes la charte graphique de Facebook. Pour accéder à l’image, le site frauduleux vous invite à vous identifier via votre numéro de téléphone.
À ce moment précis, les pirates utilisent ce numéro pour ouvrir votre compte WhatsApp en session secondaire sur leur appareil. Simultanément, un code de vérification à usage unique vous est envoyé et le faux site Facebook s’actualise en vous demandant ce fameux code. Une fois entre les mains des escrocs, ce dernier leur permet de finaliser l’appairage de votre compte. De votre côté, vous ne percevez aucun changement : pas de notification ni de déconnexion.
Qu’ont-ils à y gagner ?
Une fois l’appairage en place, les hackers ont accès à tous vos messages écrits et vocaux, aux photos et vidéos que vous avez partagées avec vos amis, ainsi qu’à votre liste de contacts.
Ils rassemblent alors toutes les informations utiles qu’ils peuvent trouver (coordonnées, lieu de vie, habitudes, loisirs, etc.) pour ensuite mener une nouvelle attaque hautement personnalisée de type spear phishing (hameçonnage ciblé).
Généralement, l’objectif est toujours le même :
- obtenir vos mots de passe et surtout celui de votre boîte e-mail afin de recueillir toujours plus d’informations sur vous et de pirater en chaîne vos autres comptes ;
- se procurer votre numéro de carte bancaire ;
- se servir de vos messages vocaux pour usurper votre voix et arnaquer vos proches ou votre banquier ;
- à terme, revendre le tout sur le dark web ou réaliser des achats en ligne.
Comment savoir si on est victime de ghost pairing ?
Avant même de penser à se protéger de cette nouvelle forme de phishing, il est conseillé de vérifier si vous en êtes victime. Pour ce faire, rendez-vous sur l’application WhatsApp et depuis le menu principal, cliquez sur « Appareils connectés ».
Les terminaux appairés ainsi que l’historique des derniers appairages y sont recensés. Si l’un d’eux vous semble suspect, déconnectez-le immédiatement et prévenez vos proches d’un éventuel piratage, tout en leur rappelant le mode opératoire des ravisseurs.
À présent, il est temps de mettre en place un plan d’action pour se prémunir contre ces arnaques. Cette tâche peut paraître complexe, car une vigilance accrue et un puissant antivirus sont insuffisants face à des techniques d’ingénierie sociale aussi sophistiquées.
Par chance, face à la montée de ce type d’arnaques, certains spécialistes de la cybersécurité comme Bitdefender ont développé des solutions spécifiques pour déjouer ces nouveaux pièges du net.
Bitdefender Mobile Security : un rempart contre le phishing et les arnaques
Intégrée à l’application Bitdefender Mobile Security, la fonctionnalité Scam Alerts vous prévient immédiatement en cas de tentative de phishing. Concrètement, sur votre smartphone ou tablette Android, l’outil analyse en temps réel vos messages entrants (SMS, messageries instantanées) ainsi que les notifications système. Et au moindre lien frauduleux, un pop-up d’alerte apparaît.
Mieux, si à tout moment vous avez un doute sur la fiabilité d’un message, d’un appel ou d’une annonce en ligne, il suffit d’interroger le chatbot gratuit Scamio (disponible sur WhatsApp). Un lien, une capture d’écran ou encore une brève explication lui suffisent à analyser la situation et à déterminer s’il s’agit d’une arnaque. Pour ce faire, cet outil dopé à l’IA compare votre cas à sa base de données d’escroqueries et repère en quelques secondes si ce procédé est courant.
Plus largement, Bitdefender Mobile Security vous protège contre tous types de cybermenaces et bloque automatiquement sur votre smartphone :
- les virus et les malwares ;
- les applications malveillantes ;
- les sites de hameçonnage ;
- les appels indésirables et les escroqueries téléphoniques.
Dernier atout majeur : l’application scanne le web et le dark web et vous prévient lorsque vos mots de passe sont compromis.
Complète, simple à utiliser et à paramétrer, Bitdefender Mobile Security est aussi très abordable : 14,99 euros la première année au lieu de 24,99 euros.
Cette solution est aussi incluse dans les formules Bitdefender Total Security et Bitdefender Ultimate Security, toutes deux garantes d’une protection avancée à la fois pour votre mobile et votre PC.
