En sécurité informatique, le mieux est encore de suivre les conseils de nos parents : ne pas faire confiance aux inconnus. Et la dernière arnaque en vogue sur WhatsApp vient une nouvelle fois confirmer l’adage.
1 « J'aime »
où est la fiabilité de cette fraude que vous expliquez si juste un mot de passe robuste et ou un 2FA activé suffit pour s’en protéger ? J’essaie de comprendre votre article qui semble incomplet ou à faire peur aux utilisateurs ?
2 « J'aime »
Cela semble être un copycat du WhatsApp OTP scam WhatsApp OTP scam: what is it, how it affects you, and how to protect yourself | 91mobiles.com et ce n’est pas juste pour faire peur, ya des utilisateurs imprudents…
J’ai du mal à comprendre. C’est une faille WhatsApp qui permet à l’attaquant d’accéder au compte si l’utilisateur entre un code dans le clavier numérique de l’application téléphone, ou directement sur WhatsApp ?
Edit : merci Felaz pour les précisions.
1 « J'aime »
Je n’y comprends rien.
S’agit-il:
A) de composer un numéro (comme le dit l’article) ? Dans ce cas, comment cette attaque est-elle censée fonctionner ? Il n’y a aucune info à ce sujet dans l’article.
B) de transmettre un OTP à l’attaquant (comme le dit Felaz)? Dans ce cas, c’est du vu, revu et re-cuit…
1 « J'aime »
L’article du lien de Felaz est ancien et ne semble pas correspondre au mode opératoire décrit dans l’article, envoie d’un OTP dans le chat WhatsApp au lieu d’appeler un numéro 45 ou 405. L’article n’est en effet pas très clair et manque d’analyse.
Comme les autres, j’ai du mal à comprendre comment taper un nombre peut déconnecter le compte (pourquoi pas) mais comment cela pourrait permettre à l’attaquant de prendre le contrôle de son compte (plus inquiétant sur ce point)
C’est quoi la différence entre le fishing et le phishing ?
En fait c’est bien le principe du code de vérification sauf que c’est entièrement automatisé.
Ici c’est le fait d’appeler le numéro qui va générer l’envoi du SMS automatiquement (archi simple à faire avec un serveur vocal, ça prend le numéro de l’appelant et créer la procédure de récupération de compte WhatsApp instantanément du coup vous recevez aussitôt le code), ensuite ça demande d’entrer le code de vérification reçu pour soi-disant sécuriser le compte, sauf que du coup vous aurez compris que ça fait l’effet inverse.
Le poisson pêché ? XD
fish : poisson (to fish : pêcher).
phishing avec ph prononcé comme « pf », donne donc pêcher aussi.
Comme l’expression « aller à la pêche » (aux informations).
En français on le traduit par « hameçonnage ».
Mais ce n’est presque pas utilisé en réalité dans le langage courant, hameçonner veut dire garnir une ligne d’hameçons.
Et non pas appâter quelqu’un…
Bref, traduction merdique française qui perd tout sont sens qui correspond bien à la base que le pirate va à la pêche aux info.
2 « J'aime »
Ah, merci pour ce bon résumé LeGrosWinnie.
Ces procédures d’account recovery ont beau être pratiques pour le grand public, elle constituent néanmoins une grosse faille de sécurité sur laquelle on n’a malheureusement aucun contrôle.
À mon sens, les utilisateurs avertis (ceux qui sont capables de gérer correctement leur identité numérique) devraient avoir le choix de faire un « opt out » définitif (pour désactiver ces fonctionnalités) au niveau de leur compte. Ensuite plus de problèmes, plus de SMS bidon « Here is your account recovery code » tous les 3 jours, etc…
Mais bon, ca fait belle lurette que les utilisateurs avertis ne sont plus le public cible des géants de l’Internet…
Donc si je comprends bien, c’est bien la personne arnaquée qui reçoit le code de vérification non ?
Donc comment le pirate pourrait-il deviner ce code qui est envoyé au N° de téléphone de la personne arnaquée ?
En attendant la désactivation de confirmation de lecture par contact au cas ou un dev de l’appli passerait par là.
Donc il s’agit d’entrer un num. de téléphone qu’un inconnu te donne pour se faire avoir.
Si çà marche, il n’y a qu’un imbécile qui irait appeler un numéro inconnu venant d’un inconnu.
Le pirate doit être un grand optimiste qui prend les gens pour des crétins, même si on sait qu’il y en a. « Some people are so gullible »