FakesApp: utiliser WhatsApp pour diffuser les arnaques et les fausses nouvelles

Les chercheurs de Check Point ont découvert une vulnérabilité dans WhatsApp qui permet à un pirate d’intercepter et de manipuler les messages envoyés par un groupe ou une conversation privée. Ce faisant, les attaquants peuvent se placer en position de pouvoir non seulement orienter les preuves potentielles en leur faveur, mais aussi créer et diffuser des informations erronées.

La vulnérabilité jusqu'à présent permet trois attaques possibles:

  1. Changer une réponse de quelqu'un pour mettre des mots dans sa bouche qu'ils n'ont pas dit.

  2. Citer un message dans une réponse à une conversation de groupe pour le faire apparaître comme s'il venait d'une personne qui ne fait même pas partie du groupe.

  3. Envoyer un message à un membre d'un groupe qui prétend être un message de groupe mais qui n'est en fait envoyé qu'à ce membre. Cependant, la réponse du membre sera envoyée à l'ensemble du groupe.

Oded Vanunu, Head of Product Vulnerability Research chez Check Point, a déclaré ceci: «Compte tenu de la prédominance de WhatsApp auprès des consommateurs, des entreprises et des agences gouvernementales, les pirates considèrent l’application comme une opportunité cinq étoiles. WhatsApp étant l’un des principaux canaux de communication disponibles aujourd’hui, WhatsApp est utilisé pour des conversations sensibles, allant d’informations confidentielles d’entreprises et de gouvernements à des informations criminelles pouvant être utilisées devant un tribunal ».

Suite au processus de divulgation responsable, l'équipe d'Oded a informé WhatsApp de ses conclusions. 

Regardez la vidéo de démonstration

Make It Go Viral

Au début de 2018, l'application de messagerie appartenant à Facebook compte actuellement plus de 1,5 milliard d'utilisateurs avec plus d' un milliard de groupes et 65 milliards de messages envoyés chaque jour. En outre, WhatsApp prévoit de déployer des fonctionnalités supplémentaires pour les entreprises afin de les aider à faire du commerce et à gérer le support client via l'application. Des vulnérabilités telles que celles décrites ci-dessus constituent des opportunités potentielles pour la fraude.

WhatsApp avec les fausses nouvelles?

En raison de sa nature même de moyen de communication simple et rapide, WhatsApp a déjà été au centre d'une variété d'arnaques. Des contrefaçons de supermarchés et de compagnies aériennes à la falsification des élections , les acteurs de la menace ne se lassent jamais des manières de manipuler les utilisateurs sans méfiance.

En fait, la capacité d'ingénieur social à grande échelle était déjà perçue à un niveau où la vie des gens était en jeu. Au Brésil, WhatsApp a rapidement répandu des rumeurs sur les dangers de recevoir un vaccin contre la fièvre jaune - ce qui aurait pu faire cesser une épidémie de virus mortel en 2016 qui a infecté 1 500 personnes et en a tué près de 500.

Plus récemment, au début de cette semaine, des rumeurs vicieuses, également diffusées via WhatsApp , ont conduit à une vague de lynchages et de meurtres de victimes innocentes en Inde.

WhatsApp joue également un rôle de plus en plus central dans les élections, en particulier dans les pays en développement. Plus tôt cette année, encore une fois en Inde, WhatsApp a été utilisé pour envoyer des messages, dont certains étaient complètement faux.

En fin de compte, l'ingénierie sociale consiste à tromper l'utilisateur et à le manipuler pour mener des actions qu'il regrettera plus tard. Avec la capacité de manipuler les réponses, d'inventer des citations ou d'envoyer des messages privés prétendant être des groupes, comme on l'a vu dans cette recherche, les escrocs auraient beaucoup plus de chances de réussir et disposeraient d'une autre arme dans leur arsenal.

Qui plus est, plus le groupe WhatsApp est grand, où un grand nombre de messages sont envoyés, moins le membre a le temps ou l'envie de vérifier chaque message pour vérifier son authenticité et peut facilement être pris en compte par les informations affichées. Comme cela a déjà été constaté par les spams qui simulent que le nom de l'expéditeur semble provenir d'une source approuvée par le destinataire, cette dernière vulnérabilité permettrait d'utiliser des méthodes similaires à partir d'un vecteur d'attaque totalement différent.

Comment se protéger de la désinformation

Bien qu'il n'existe aucun produit de sécurité capable de protéger les utilisateurs contre ces types de tromperies, plusieurs idées doivent être prises en compte pour éviter d'être victimes de fausses informations, de théories du complot et d'arnaques en ligne.

Si quelque chose semble trop beau pour être vrai, c'est généralement le cas.

Et de même, si quelque chose semble trop ridicule pour être vrai, c'est probablement le cas.

 La désinformation se répand plus vite que la vérité.

Même si vous voyez peut-être les mêmes nouvelles à partir de sources multiples, cela ne rend pas les choses plus factuelles que si elles provenaient d’une seule source.

 Vérifiez vos «faits».

Il est recommandé de recouper ce que vous voyez sur les médias sociaux avec une recherche en ligne rapide pour voir ce que les autres peuvent dire à propos de la même histoire. Ou mieux encore, ne tirez plus de vos nouvelles des sites Web de médias sociaux.

Source