Un clic sur Instagram, des dizaines d’euros facilement gagnés et un groupe WhatsApp rempli de bots. C’est le cocktail de la dernière arnaque que nous avons dénichée sur la messagerie WhatsApp. Pour bien comprendre ce que cherchaient les pirates, on a suivi les instructions de l’arnaque… jusqu’à un certain point.
Durant les dernières semaines, plusieurs membres de notre rédaction se sont retrouvés dans le viseur d’une arnaque à la tâche. Ce type d’escroquerie propose aux internautes de gagner de l’argent facilement, en échange de tâches faciles à réaliser. Au lieu de rémunérer les tâches comme promis, les cybercriminels à l’origine de l’opération vont tout faire pour piéger leur victime. Ils peuvent notamment tenter de lui soutirer de l’argent ou de lui voler des données.
Pour bien comprendre comment fonctionnent ces arnaques, massivement présentes sur les réseaux sociaux et les messageries instantanées, nous avons pris le temps d’infiltrer un groupe WhatsApp utilisé par des escrocs en jouant la carte de la naïveté. Voici ce qu’il s’est passé lorsque nous avons joué le jeu des pirates.
À lire aussi : Vague d’arnaques au colis en France – tout savoir sur ces escroqueries 2.0 qui exploitent vos données
Un paiement en échange d’un simple clic
L’arnaque commence lorsque la victime est tout à coup ajoutée à un groupe WhatsApp par le biais de son numéro de téléphone. Tout porte à croire que le numéro de téléphone a été déniché par les pirates dans un répertoire de données volées. Le numéro d’une de nos collègues, cible de l’arnaque, a en effet été divulgué dans le cadre d’une précédente fuite de données. C’est ce que nous avons découvert en tapant l’adresse mail de la personne ciblée sur Have I Been Pwned, le site open source qui permet à tous les internautes de vérifier si leurs données personnelles ont été piratées. Sur ce groupe WhatsApp, un internaute prétend qu’il est possible d’être rémunéré en suivant simplement des comptes sur Instagram.
« La tâche consiste à suivre et à aimer des comptes Instagram qui vous seront attribués au sein du groupe. Nous vous versons 10 euros pour cette première activité et vous pourrez gagner davantage en réalisant les suivantes », peut-on lire sur le groupe.
D’autres personnes, vraisemblablement des faux profils, s’empressent de confirmer les dires de l’internaute. Ils affirment avoir bien reçu un paiement pour avoir réalisé la tâche demandée. Pour recevoir de l’argent, il faut s’abonner au compte Instagram indiqué, faire une capture d’écran qui le prouve et envoyer celle-ci à un compte sur Telegram. Ce compte est présenté comme un « vérificateur de paiement ». Une fois que c’est fait, vous recevrez de l’argent. L’utilisateur précise que les paiements peuvent se faire par PayPal, par Revolut ou par le biais d’un virement bancaire classique.
Notez que le groupe était essentiellement composé de faux profils, avec des numéros enregistrés dans différents pays étrangers. Ces comptes sont censés rassurer la cible, mais leurs propos sonnent faux et ne paraissent pas vraiment naturels. On sent bien qu’ils récitent un texte. Ce sont clairement des bots. Seuls quelques utilisateurs disposaient d’un numéro de téléphone français. Il s’agit vraisemblablement d’autres victimes potentielles de l’escroquerie.
Intrigués, nous avons suivi les instructions à la lettre, en demandant même des précisions au groupe et à son administrateur. Après avoir suivi le compte indiqué, nous nous sommes rendus sur Telegram avec la capture d’écran demandée. Nous sommes entrés en contact avec une certaine Giulia, qui prétend exercer la profession « d’évaluateur d’offres d’emploi sur Instagram ». Afin de vérifier que son interlocuteur est bien inscrit sur le groupe WhatsApp à l’origine de l’arnaque, Giulia nous demande un « code d’emploi ». Celui-ci doit être fourni par l’administrateur du groupe WhatsApp.
Il n’est pas surprenant que l’arnaque bifurque rapidement de WhatsApp à Telegram. La messagerie attire particulièrement les escrocs pour plusieurs raisons. Tout d’abord, la plateforme permet de créer très facilement des bots qui automatisent les échanges, ce qui facilite les activités des cybercriminels. De plus, il est souvent plus compliqué pour une victime de faire fermer un compte Telegram que de signaler un profil sur WhatsApp
À lire aussi : Arnaque à la saisie – ne faites pas confiance à ce mail du Trésor public, c’est une tentative de phishing
Quel est le véritable but des pirates ?
Après avoir accédé à la demande du compte Telegram, les contours de l’arnaque se sont vite précisés. Pour recevoir un paiement, la cible est en effet invitée à communiquer une série d’informations, à commencer par des données déjà en possession des pirates, comme le numéro de téléphone. Ces informations doivent permettre aux pirates de vérifier « si vous figurez sur la liste des invités de l’entreprise ».
Ensuite, nous avons évidemment demandé le versement de notre argent, à savoir les 10 euros promis pour avoir suivi le compte Instagram. C’est là que Giulia nous a demandé notre nom complet et notre IBAN (International Bank Account Number), le numéro international qui permet d’identifier un compte bancaire. Le vol d’IBAN ne permet pas de vider directement un compte, mais il ouvre la porte à plusieurs attaques. Les prélèvements SEPA frauduleux, par le biais de faux mandats, font partie des principales possibilités offertes aux cybercriminels en possession de vos données bancaires. Avec votre IBAN et vos informations personnelles, un escroc peut aussi se faire passer pour vous, et souscrire à des abonnements ou pire, à des crédits auprès d’une banque.
Évidemment, nous n’avions pas du tout envie, ni l’intention, de donner l’IBAN à l’escroc. On a donc rappelé au pirate que le groupe WhatsApp promettait également des paiements par le biais de PayPal, ce qui nous éviterait de communiquer des données bancaires. Ce n’est bien sûr pas au goût de notre interlocutrice.
Face à ce rappel, Giulia a botté en touche et dégainé une excuse bien pratique. Elle prétend que son « entreprise a atteint sa limite de paiements PayPal et vous devrez patienter ». Toutefois, « les comptes IBAN peuvent recevoir un salaire de 10 € en seulement 1 à 2 minutes ». Tout est fait pour que vous acceptiez de communiquer votre IBAN.
Des excuses peu crédibles pour vous embobiner
On a même proposé à Giulia de réaliser le versement en passant par les cryptomonnaies. Là encore, elle ajoute, sans donner de véritable raison, qu’elle ne peut « transférer de l’argent que par IBAN ». Les prochains paiements par le biais de PayPal devront attendre plusieurs heures, car « il y a actuellement une vingtaine de personnes dans la file d’attente ». C’est une excuse qui n’a pas réellement de sens. On propose alors au pirate d’attendre jusqu’à ce que les transferts sur PayPal soient à nouveau disponibles.
Dans les heures suivant cet échange, nous avons relancé Giulia à plusieurs reprises, mais elle a toujours trouvé des excuses pour mettre en avant l’IBAN au détriment de PayPal. Elle a notamment prétendu que son « compte est en attente de traitement ». Par la suite, elle a cessé de répondre à nos relances. Elle s’est visiblement rendue compte que nous ne comptions pas accepter de communiquer nos données bancaires, quoi qu’il arrive. On a raconté notre mésaventure sur le groupe WhatsApp à l’origine de l’arnaque, mais nous avons été ignorés par tous les participants. Gageons que nos messages ont peut-être permis d’alerter les autres cibles ajoutées par les escrocs.
Notez que d’autres membres de la rédaction de 01net se sont également retrouvés dans le viseur de cette arnaque à la tâche. Comme vous pouvez le voir, certains membres se sont amusés à se payer la tête des cybercriminels à l’origine des arnaques (on n’est pas certain que les hackers aient compris le second degré). Ces groupes ont été très actifs pendant quelques jours, avec énormément de bots qui échangeaient au sujet de leurs paiements réussis, avant de devenir complètement silencieux. Certains groupes ont ensuite été supprimés.
Comment se protéger contre les arnaques à la tâche sur WhatsApp ?
Si vous êtes tout à coup ajouté à un groupe WhatsApp analogue, ne vous laissez pas berner par la promesse de l’argent facile. Quittez simplement le groupe. Pour vous protéger contre d’autres escroqueries à l’avenir, vous pouvez empêcher (ou limiter) l’ajout à des groupes WhatsApp par le biais des réglages de confidentialité.
Il suffit d’ouvrir l’application WhatsApp sur votre smartphone, d’aller dans Paramètres, puis Compte et Confidentialité. Dans la section Groupes, choisissez qui a le droit de vous ajouter à un groupe. Vous avez le choix entre Tout le monde, uniquement les contacts ou tous mes contacts sauf certains noms bien précis. On vous recommande de restreindre la fonction à vos contacts pour limiter les risques.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.