Vendredi dernier, nous avons reçu un message WhatsApp qui a piqué notre curiosité : 2 billets gratuits sur Virgin Atlantic !
Billets gratuits ! Pour chaque famille !
Il s’agissait forcément d’une arnaque ! Mais si vous avez peu de “chance” de recevoir cela en France, soyez bien conscient que cela existe et pourrait arriver en ciblant des marques bien connues dans notre pays.
Selon le message, Virgin Atlantic distribuait deux billets gratuits par famille pour célébrer son 35ème anniversaire. Cela semblait trop beau pour être vrai et, comme les lecteurs réguliers de notre blog sécurité vous le diront, il est probable que cela soit effectivement bien trop beau pour être vrai !
Donc, j’ai regardé de plus près, de beaucoup plus près.
L’URL semble légitime, comme une appartenant à Virgin Atlantic, n’est-ce pas ?
Faux !
Regardez de plus près et zoomez sur le “r” de “Virgin”, vous voyez le point en dessous ?
Le “r” est en fait un “ṛ” que Wikipedia défini comme suit :
Le Ṛ (en minuscule: ṛ) est une lettre de l’alphabet latin, formée à partir du R avec l’ajout d’un point sous la lettre. Il est utilisé dans la translittération des langues afro-asiatiques pour représenter un “r emphatique“.
Ainsi, au lieu d’un luxurieux séjour gratuit, nous nous sommes retrouvés face à un message malveillant de phishing par SMS, ou smishing (que nous pourrions appeler WhatsPhishing ou whish scam).
Nous avons transféré le message sur un alias WhatsApp top-secret au niveau d’un appareil mobile Android de test (fraîchement effacé et sans aucune sécurité mobile installée) nous avons alors cliqué sur ce phishing par SMS.
La page s’ouvre dans le navigateur de votre téléphone et, si vous avez l’œil fin, vous pouvez voir immédiatement que quelque chose ne va pas et ressemble à du phishing par SMS. Voici à quoi ressemble le domaine viṛginatlantic.com
dans une barre d’adresse Chrome :
Le xn--
au début du domaine indique au navigateur que le nom de domaine est encodé en utilisant punycode, une façon de représenter des milliers de caractères exotiques différents comme le Ṛ, en utilisant seulement les lettres romaines de A à Z, les chiffres de 0 à 9 et le trait d’union (-).
WhatsApp interprète le punycode et montre la version internationalisée du domaine, mais pas Chrome.
La page en question est une enquête comportant quatre questions sur vos expériences précédentes, et l’une de vos IPI (Informations Personnelles Identifiables), en l’occurrence votre âge.
Cette page essaie de se donner une certaine légitimité avec la marque Virgin Atlantic et une série de faux commentaires sur Facebook :
Si vous remplissez le sondage, vous êtes invité à partager le message WhatsApp avec 20 amis ou groupes en utilisant un bouton facile d’accès. Vous êtes ensuite dirigé vers un autre site web qui vous indique “vous avez presque terminé” et vous demande plus de données personnelles.
Fait intéressant, bien que ce scam soit en anglais, le code est plein de commentaires comme <!-- Button zum Teilen -->
, qui laissent penser qu’il a été créé initialement en langue allemande.
Quoi faire ?
Soyez vigilant ! Cette attaque essaie d’être plausible, en utilisant un nom de domaine qui semble réel, et en provenant de personnes que vous connaissez (bien que la version que j’ai vue est arrivée via WhatsApp, elle a également été repérée sur Facebook).
Votre meilleure défense est de combiner une sécurité mobile, telle que Sophos Mobile Security pour Android ou iOS, avec une vigilance optimale qui constitue à considérer un message WhatsApp, un tweet, un message Facebook, un email ou tout autre message non sollicité avec la plus grande prudence !
Billet inspiré de Free Virgin Atlantic tickets? No, it’s a WhatsApp scam, sur Sophos nakedsecurity.