Les utilisateurs de WhatsApp doivent se méfier d'une arnaque qui attire les victimes en leur promettant des récompenses en espèces de la part du géant de la vente au détail Costco en échange de la réponse à une courte enquête - tout cela en l'honneur du « 40e anniversaire » de Costco.

Bien entendu, il n'y a pas de prix à gagner. Cette escroquerie récurrente repose sur un vieux truc : les fraudeurs se font passer pour une marque connue et utilisent un thème pour inciter des victimes peu méfiantes à communiquer leurs données personnelles ou à installer des applications douteuses sur leurs appareils.

Cette campagne particulière - qui a été repérée récemment au Mexique et dans quelques autres pays d'Amérique latine - utilise d'autres astuces pour renforcer sa crédibilité. Par exemple, le site Web mis en place par les escrocs présente des avis et des commentaires élogieux d'anciens "gagnants", ce qui, là encore, n'est pas inhabituel dans ce type de campagnes d'ingénierie sociale.

Ne croyez pas ce que vous voyez

Lorsque vous cliquez sur un lien dans un message WhatsApp, vous accédez à un site Web qui vous demande de répondre à une enquête. Comme on pouvait s'y attendre, l'enquête propose plusieurs options, mais une seule permet de découvrir le « prix ».

Figure 1. Fausse enquête

Il est donc inévitable que vous ne choisissiez pas la bonne option. Quelques tentatives plus tard, vous êtes encouragé à « sélectionner l’option gagnante » - mais seulement à condition de partager le lien de la campagne avec vos contacts WhatsApp.

Figure 2. Partagez-vous le lien ?

Dans l'espoir que le prix est réel, de nombreuses personnes sont en effet susceptibles de partager le lien. C'est en partie la raison pour laquelle ce type d'escroquerie piège souvent un si grand nombre de personnes dans le monde entier. En outre, comme le lien est partagé par inadvertance entre amis et parents, la ruse acquiert une aura de « crédibilité » et trompe davantage de victimes.

Figure 3. Une autre étape du stratagème

Une fois que vous avez atteint la dernière étape pour réclamer votre « prix », une fausse alerte vous indique la présence d'un logiciel malveillant sur votre appareil. Certaines de ces arnaques suggèrent à la victime de télécharger une application pour nettoyer l'appareil « compromis ». En réalité, cette application installe un logiciel qui peut voler les informations personnelles de la victime. Dans d'autres itérations, vous pouvez être invité à communiquer vos coordonnées bancaires ou d'autres informations sensibles afin de « transférer le prix de l'argent ».

Figure 4. Faux avertissement de virus

Les logiciels malveillants en hausse sur les systèmes mobiles

Les détections de menaces sur les appareils Android ont augmenté de 8 % au cours des quatre premiers mois de 2022 par rapport aux quatre mois précédents. Les HiddenApps - le type de menace qui utilise des applications trompeuses installées sans icône ni trace visible - restent la menace la plus courante dans cette catégorie.

Toutefois, la plus forte croissance enregistrée par la télémétrie d'ESET est une augmentation de 170 % des espiongiciels. Il s'agit d'une tendance particulièrement inquiétante car ce type de menace dérobe un maximum de données sensibles à ses victimes qui, pour la plupart, n'en ont pas conscience pendant des années.

Le dernier rapport d'ESET sur les menaces souligne également que, tout comme les appareils Android, les appareils iOS sont également la cible de cybermenaces. Par exemple, les chercheurs d'ESET ont récemment découvert des portefeuilles de crypto-monnaies malveillants ciblant les deux systèmes d'exploitation afin de voler le code unique qui donne accès aux portefeuilles de crypto-monnaies des utilisateurs.

Les plateformes de médias sociaux continuent d'être un terrain propice à divers types de fraude. D'après les flux de phishing d'ESET, 23 % de toutes les URL de phishing détectées au cours des quatre premiers mois de 2022 ont été partagées principalement via Facebook et WhatsApp.

Figure 5. Détection des menaces Android, de janvier à avril 2022 (source : Rapport d’ESET sur les menaces T1 2022).

Rester à l'abri des escroqueries

Si iOS et Android s'efforcent d'offrir un environnement plus sûr, il est important que les utilisateurs fassent également leur part, en prenant le contrôle de leur sécurité et de leur vie privée.

  • Méfiez-vous des offres qui semblent trop belles pour être vraies. Si vous pensez que quelque chose cloche, vérifiez si l'URL renvoie vraiment à la marque d'origine, mais recherchez aussi les simples fautes d'orthographe et de grammaire sur la page. Ce type d'escroquerie en contient généralement beaucoup.
  • Ne participez pas à des enquêtes parentales sur Costco, à des concours ou à des offres qui sortent de l'ordinaire et qui sont trop belles pour être vraies, même si les liens sont partagés par des contacts de confiance. Il est très probable que l'expéditeur soit déjà victime d'une escroquerie.
  • Ignorez le contenu et supprimez le message. Non seulement vous éviterez de devenir une victime, mais vous contribuerez également à briser la chaîne.
  • Assurez-vous d'avoir une solution de sécurité installée sur vos appareils.
  • Maintenez le système d'exploitation et les applications de votre smartphone à jour.
  • Ne faites confiance qu'aux magasins officiels, tels que Google Play et App Store.
  • Essayez de vous tenir informé des menaces courantes - par exemple, les messages non sollicités qui vous demandent vos informations personnelles et cooptent les noms de marques connues sont l'une des méthodes les plus courantes dans le sac à malices des escrocs.

En terminant, saviez-vous que Costco n'aura pas 40 ans cette année ?

Pour en savoir plus :


Faux concours pour gagner le maillot de l’équipe brésilienne sur WhatsApp
Une arnaque se fait passer pour WhatsApp et prétend offrir un accès Internet gratuit
Le FBI met en garde contre la croissance des arnaques de faux commerces en ligne