Le "service de rencontres" myZamana s'infiltre dans votre Gmail, envoie des spams à vos amis

myZamana

Mise à jour: Ashish Kundra, président et chef de la direction de myZamana, a répondu à cet article. Il a été mis à jour avec ses commentaires et clarifications.

Chez Digital Trends, nous visons à nous assurer qu'aucun de vous ne se fait arnaquer, se faire arnaquer, spammer ou profiter du grand nombre de cyber-punks qui sont là pour baiser avec votre vie. Ainsi, lorsque nous avons entendu un lecteur parler d'une arnaque par e-mail sur les réseaux sociaux qui se propage dans l'écosystème Gmail, nous avons dû y jeter un coup d'œil.

Un lecteur écrit:

Bonjour,

Je suis un professionnel du marketing qui a récemment accepté naïvement un e-mail de myZamana que je pensais être une invitation légitime d'un collègue de travail, mais qui s'est avéré être une arnaque similaire à celle que vous avez signalée avec SchoolFeed. J'ai fait quelques devoirs sur myZamana et j'ai découvert qui était l'investisseur principal, etc. J'ai contacté ce fondateur, j'ai tout de suite eu des nouvelles d'eux. Je voulais voir si l'un de vos autres lecteurs s'est plaint de myZamana parce que ce qu'ils font est frauduleux et j'espère y mettre un terme!

Merci,

Heidi

Tu n'es pas seule, Heidi. Un certain nombre d'utilisateurs de Gmail ont signalé le même problème avec myZamana au cours des derniers mois. Regardons de plus près.

Le coupable

MyZamana factures lui-même est décrit comme «un service de rencontres indien en ligne avec des idées et des méthodologies modernes» par Crunchbase. Fondée en 2008, la société est basée à Boston, MA, et est dirigée par son président-directeur général Ashish Kundra, selon son profil commercial sur Bloomberg Businessweek. Une recherche sur WhoIs s'avère peu - le site a une inscription privée via 1 & 1, une société d'hébergement Web. Au moment d'écrire ces lignes, le site prétend avoir 6 556 957 utilisateurs.

Cependant, une lecture rapide du site suggère que très peu de personnes (lire: aucune) ont déjà utilisé le réseau social à dessein, et encore moins pour des «rencontres». Une fois que vous avez créé un profil, vous êtes accueilli par une fonctionnalité d'arnaque "Hot or Not", qui crie immédiatement "SPAM!"

Si vous cliquez sur les photos d'un «utilisateur», le site vous invite automatiquement à télécharger des photos de vous-même, ou - encore mieux! - connectez-vous au site via Facebook, et vos photos seront simplement importées dans myZamana. S'il vous plaît, ne faites jamais ça.

Maintenant, si vous essayez de vous connecter avec l'une des personnes sur ces images, une fenêtre contextuelle vous informe qu'en fait, vous devez cracher entre 10 $ et 35 $ pour accéder au site Web. Tout ce dont il a besoin, ce sont les informations de votre carte de crédit et BAM , l'amour doux viendra sur votre chemin. (Ne pas.)

Si vous n'êtes toujours pas convaincu des risques liés à myZamana, je vous suggère de consulter sa politique de confidentialité, qui regorge de petits joyaux comme celui-ci:

«Dans certaines circonstances, des tiers peuvent intercepter ou accéder illégalement à des transmissions ou des communications privées, ou les membres peuvent abuser ou utiliser à mauvais escient les informations qu'ils collectent sur nos sites Web. Par conséquent, bien que nous utilisions les pratiques standard de l'industrie pour protéger votre vie privée, nous ne promettons pas, et vous ne devriez pas vous attendre, que vos informations personnellement identifiables ou vos communications privées resteront toujours privées. »

Yikes… Mise à jour:  Dans un e-mail, le président-directeur général de myZamana, Ashish Kundra, m'a dit que mettre en évidence cette seule section de la politique de confidentialité était «un peu injuste». Et je suis d'accord - tout en haut de la politique de confidentialité de myZamana stipule que «En ce qui concerne vos informations, vous en êtes entièrement propriétaire et nous ne les partagerons ni ne les vendrons à des tiers.

«Permettez-moi d'être clair - nous ne vendons ni ne louons aucune information», a écrit Kundra. «Nous gardons les informations privées de nos utilisateurs privées, en fin de compte.» C'est une bonne politique, et j'ai eu tort de la laisser de côté. Voir plus de la réponse de Kundra ci-dessous .

Le problème

Le problème avec myZamana n'est pas autant le site lui-même que les pratiques de piratage d'e-mails de l'entreprise, mentionnées par Heidi. Voici ce qui se passe: vous recevez un e-mail qui semble provenir d'une personne que vous connaissez - c'est le nom indiqué comme expéditeur. À l'intérieur, un message indique: "[Votre ami] vous a envoyé un message." En dessous se trouve un bouton vert avec un lien hypertexte indiquant "Lire le message". On vous dit de remplir d'abord un profil d'utilisateur, puis vous pourrez voir le message.

Il s'agit d'une tactique d'escroquerie de phishing classique, dont de nombreux utilisateurs sont conscients de nos jours. Cependant, comme l'e-mail myZamana semble provenir de quelqu'un que vous connaissez, il semble au moins légitime. Ce n'est pas.

Ce qui se passe ensuite est la pire partie de tout cela, et c'est la raison pour laquelle Heidi nous a envoyé un courriel. En cliquant sur le lien et en vous inscrivant au site, vous avez effectivement donné à myZamana l'accès à votre liste de contacts Gmail. À partir de là, l'entreprise envoie apparemment du spam à l'ensemble de votre liste de contacts avec des e-mails qui semblent provenir de vous. Et si quelqu'un à qui vous avez envoyé un e-mail fait de même, le problème recommence, pour l'éternité.

autorisation gmail

La solution

Si cela vous arrive, voici ce que vous devez faire: Changez votre mot de passe Gmail . (Voir les instructions pour le faire ici.) Nous n'avons vu aucune preuve que myZamana accède à vos identifiants de connexion Gmail. Mais étant donné la nature fragmentaire du site, la prudence est vivement recommandée.

Le problème le plus probable ici est qu'en vous inscrivant à myZamana, vous avez ajouté le site à votre liste de sites approuvés dans Gmail, ce qui lui donnerait accès à votre liste de contacts. Pour révoquer son accès, connectez-vous à Gmail, puis cliquez sur votre photo de profil dans le coin supérieur droit de la fenêtre. Cliquez sur Compte, puis sur Sécurité (colonne de gauche), puis sur le bouton Modifier "Applications et sites autorisés". Trouvez myZamana, cliquez sur «révoquer l'accès» et vous devriez être débarrassé de ce site embêtant pour de bon.

Nous avons contacté myZamana à propos de cette histoire, mais nous n'avons pas encore eu de réponse. Nous mettrons à jour cet espace avec leur réponse si nous le faisons.

Mise à jour: myZamana répond

Peu de temps après la publication de cet article, le président et chef de la direction de myZamana, Ashish Kundra, m'a envoyé par courrier électronique quelques points qui, selon lui, avaient été initialement déformés ici. «Tout d'abord», écrit-il, «myZamana n'est pas un service de rencontres, c'est un réseau social (la description Crunchbase n'a pas été écrite par nous).» Il ajoute que myZamana «a été initialement lancé en tant que site de rencontre traditionnel», mais la société a «depuis beaucoup fait évoluer le site». Compte tenu de l'apparence, des caractéristiques et des fonctionnalités de myZamana, je ne vois pas en quoi c'est autre chose qu'un site de rencontre. Mais si Kundra veut le décrire comme un «réseau social», qu'il en soit ainsi.

De plus, Kundra dit que myZamana a «beaucoup d'utilisateurs actifs qui aiment vraiment utiliser le site», mais que cela «peut ne pas être immédiatement évident pour les utilisateurs en dehors de l'Asie», où, dit-il, la majorité des utilisateurs actifs de myZamana résident.

Enfin, il précise que myZamana utilise un modèle «freemium», et qu'il est possible d'utiliser le site sans payer pour cela. Il dit que «j'aurais pu envoyer des messages à ces utilisateurs gratuitement sans payer! ([Je] n'ai pas atteint la limite quotidienne des comptes gratuits). » En fait, je n'ai pas pu envoyer de message à une seule personne, même si j'avoue qu'il est possible que j'aie oublié certaines fonctionnalités.

Quant à la question de l'accès de myZamana aux listes de contacts Gmail des utilisateurs et de l'envoi d'e-mails en utilisant les noms de ces utilisateurs - ce qui, comme je l'ai expliqué ci-dessus, est le seul  vrai problème avec myZamana - Kundra n'a pas eu de réponse. Je lui ai demandé des éclaircissements à ce sujet et je le mettrai à jour avec toute réponse que je recevrai.