Piégé sur WhatsApp : un Mauricien victime d’une arnaque sophistiquée

Victime d’un phishing ciblé orchestré depuis l’étranger, un Mauricien a vu son compte WhatsApp piraté en quelques minutes. Les escrocs, utilisant une manipulation psychologique sophistiquée, ont tenté d’extorquer de l’argent à ses proches via de faux appels à l’aide.

En quelques minutes, Ashraf Oozeerally a vu son compte Whatsapp piraté, ses proches contactés par des escrocs et de l’argent transféré sur des comptes bancaires mauriciens. Il a été piégé par une opération de phishing bien ficelée.

Tout commence vers 8 heures le mercredi 27 mai. Ashraf Oozeerally reçoit un appel d’un homme se présentant comme un médecin sud-africain. L’appel paraît crédible : l’interlocuteur parle anglais avec un accent sud-africain. Il avance qu’il connaît Ashraf Oozeerally à travers un groupe familial basé en Afrique du Sud.

« Comme je suis dans plusieurs groupes familiaux et communautaires liés à l’Afrique du Sud, son explication ne m’a pas paru suspecte », raconte Ashraf Oozeerally.

L’escroc pousse alors plus loin la manipulation. Il évoque la cause d’Aafia Siddiqui, une neuroscientifique pakistanaise emprisonnée aux États-Unis. C’est un sujet qui touche particulièrement Ashraf Oozeerally. L’homme lui propose de participer à une réunion Zoom prévue dans la soirée pour soutenir cette campagne de mobilisation.

« Il savait exactement comment me parler. Il a étudié mon profil et mes centres d’intérêt. »

Code

Quelques instants plus tard, le faux médecin lui envoie un code d’accès sous prétexte de l’inscription à la réunion Zoom. Sans méfiance, Ashraf Oozeerally transmet le code reçu. Des pirates prennent alors le contrôle de son compte WhatsApp. « Quand je suis revenu de la douche, mon WhatsApp n’existait plus sur mon téléphone. »

Les fraudeurs agissent alors rapidement. En quelques minutes, ils contactent plusieurs proches d’Ashraf en se faisant passer pour lui. Le scénario est simple, mais efficace : ils prétendent qu’il fait face à une urgence financière et demandent des transferts d’argent immédiats. Certains proches ont failli tomber dans le piège. Un de ses cousins a transféré Rs 20 000 sur un compte bancaire communiqué par les escrocs.

« C’était le matin de l’Eid. Il pensait vraiment que j’avais besoin d’aide rapidement », explique Ashraf. Heureusement, une seconde demande de Rs 30 000 a éveillé les soupçons du cousin, qui a préféré vérifier avant d’envoyer davantage d’argent.

Dès qu’il comprend qu’il est victime d’un piratage, Ashraf publie des avertissements sur Facebook et dans plusieurs groupes WhatsApp afin de prévenir ses contacts. Il contacte également un ami proche, Djamil Jaddoo, expert en cybersécurité et représentant régional de Symantec pour l’Afrique et l’océan Indien.

Selon Djamil Jaddoo, cette attaque relève d’une méthode de plus en plus utilisée par les cybercriminels : le « targeted phishing », ou phishing ciblé.

Phishing ciblé

« Ce ne sont plus des attaques aléatoires. Les hackers étudient leurs victimes, leurs habitudes, leurs intérêts et leur entourage avant de passer à l’action », explique-t-il.  Le spécialiste souligne que même des utilisateurs expérimentés peuvent se faire piéger face à ce type de manipulation psychologique sophistiquée.

« Les gens pensent souvent que cette situation n’arrive qu’aux autres. Mais n’importe qui peut devenir une cible. »
L’affaire soulève des interrogations sur les réseaux utilisés pour récupérer l’argent volé. Selon les premières constatations, plusieurs comptes bancaires locaux auraient servi de relais pour transférer les fonds. Les enquêteurs devront déterminer si les titulaires de ces comptes sont complices ou s’ils ont eux-mêmes été manipulés comme “mules financières”.

Ashraf Oozeerally a porté plainte. Il a alerté la Cybercrime Unit et la Mauritius Commercial Bank. Il a également fermé ses comptes bancaires par mesure de sécurité.

Mais pour Djamil Jaddoo, le principal problème reste la lenteur des procédures face à des criminels opérant à une vitesse fulgurante.

« Les hackers peuvent vider des comptes, transférer l’argent et disparaître en moins de 24 heures. Pendant ce temps, les démarches administratives et les enquêtes prennent parfois des semaines. »

L’expert plaide pour une meilleure coordination entre les banques, la Cybercrime Unit et les organismes concernés afin de réagir plus rapidement lors de ce type d’attaque.

Les spécialistes recommandent de ne jamais communiquer un code de vérification reçu par SMS ou WhatsApp, même à une personne semblant digne de confiance.