Une nouvelle attaque basée sur l’ingénierie sociale vise les utilisateurs de WhatsApp. Ces derniers reçoivent un message éveillant la curiosité avec un lien. Si la victime clique dessus, elle est amenée à passer quelques “étapes de vérification”… qui vont simplement donner un accès à son compte au pirate informatique. C’est bien connu, la curiosité est un vilain défaut. Dans le cas présent, celle-ci peut vous coûter l’accès à toutes vos données liées à WhatsApp. Les chercheurs de Gen ont en effet identifié une nouvelle attaque baptisée GhostPairing Attack. Celle-ci est plutôt simple dans son approche mais ô combien redoutable. Tout commence avec la réception d’un message du type : “Hey, j’ai trouvé cette photo de toi…” provenant d’un de ses contacts (piraté au préalable). Ledit message est accompagné d’un lien qui laisse à penser que la redirection pour voir la photo se fera sur Facebook. Sauf que le lien en question ne mentionne pas le réseau social de Meta mais plutôt “photobox.life”, “facesworlds.life”, “yourphoto.world”, etc. Si l’utilisateur cède aux sirènes de la curiosité, il clique et atterrit sur une page qui reprend les codes de Facebook. De quoi mettre en confiance. Cela permet également au pirate de demander une connexion entre les deux comptes. Cela peut être via un code QR à scanner via WhatsApp ou un code numérique à saisir. Alors que la victime pense simplement connecter ses comptes, le processus va enregistrer le navigateur de l’escroc comme étant un appareil connecté au compte. Résultat, ce dernier obtient l’accès aux données du compte WhatsApp, ce qui comprend les messages et les photos. Ledit pirate peut également accéder à vos contacts et réitérer l’attaque. En d’autres mots, il détourne le processus de jumelage légitime pour s’octroyer un accès invisible. Pour éviter de tomber dans le piège, il est recommandé de ne pas cliquer sur un lien que vous ne connaissez pas, et ce, même s’il provient de l’un de vos contacts. Vous pouvez également renforcer la sécurité de votre compte en activant la vérification en deux étapes. Au moindre doute, vous pouvez toujours joindre le contact en question via un autre canal pour vous assurer que c’est bien lui qui vous a transmis le message.