Cinq escroqueries par phishing dans le monde de la cryptographie et comment les éviter.

Les escroqueries par phishing se produisaient bien avant l’industrie des cryptomonnaies, la première attaque documentée ayant probablement été menée au milieu des années 1990.

Bien que l’objectif principal du phishing soit simplement de voler de l’argent à des victimes sans méfiance, le fait que de tels stratagèmes soient mis en œuvre par des pirates informatiques experts en technologie signifie qu’ils sont de plus en plus utilisés pour voler des actifs numériques. Notamment parce que les crypto-monnaies offrent une meilleure protection de la vie privée que les monnaies fiduciaires, ce qui signifie que les pirates peuvent disparaître dans les airs avec leur butin.

Voici cinq des attaques de phishing les plus courantes, ainsi que quelques conseils utiles pour vous protéger des cybercriminels.

1 – PHISHING CIBLÉ

Un rapport récent a souligné la prévalence croissante des attaques de spear phishing, dans lesquelles les attaquants ciblent des individus spécifiques avec des messages personnalisés, généralement un faux e-mail semblant provenir d’un expéditeur de confiance.

L’objectif de l’attaquant sera souvent de forcer les destinataires à révéler des informations sensibles ou de les inciter à visiter un site Web infesté de logiciels malveillants.

En ce qui concerne la cryptographie, les e-mails et les SMS de phishing prétendant provenir de fournisseurs de portefeuilles matériels tels que Trezor et Ledger ou même d’échanges de crypto-monnaie , tentent d’inciter le destinataire à « mettre à jour » sa graine de récupération ou à modifier son mot de passe, après quoi le voleur peut voler les identifiants de connexion et videz le portefeuille en question. Une autre tactique consiste à attirer les utilisateurs avec des promotions plausibles.

Alors, comment pouvez-vous vous immuniser contre le spear phishing ? Au niveau de l’entreprise, les solutions sont multiples : formation du personnel pour accroître la sensibilisation et le reporting des salariés ; utiliser l’apprentissage automatique pour analyser les modèles de communication ; Des outils d’IA pour garantir la protection contre les piratages de comptes. Les particuliers, quant à eux, doivent prendre des mesures pour vérifier l’authenticité des expéditeurs, vérifier soigneusement les liens et les adresses e-mail des expéditeurs, éviter les réseaux Wi-Fi ouverts et activer l’authentification à 2 facteurs . Surtout, soyez extrêmement prudent à l’égard de tout email vous demandant de saisir un identifiant et un mot de passe.

2-DÉTOURNEMENT DE DNS

Certains stratagèmes de phishing sont plus sophistiqués que d’autres. Prenons par exemple les attaques d’usurpation DNS. Dans cette arnaque vieille de plusieurs décennies, les cybercriminels détournent des sites Web légitimes et les remplacent par une interface malveillante, avant d’inciter les utilisateurs à saisir leurs clés privées sur le faux domaine.

L’un des moyens les plus efficaces de vous protéger contre une attaque DNS consiste à utiliser un VPN , car il contourne les paramètres de votre routeur en envoyant le trafic via un tunnel crypté. Vous devez également vérifier avec diligence l’URL dans votre navigateur pour vous assurer que le certificat du site Web est digne de confiance, et prêter attention à tout avertissement indiquant que votre connexion à un site n’est pas sécurisée. Bien entendu, stocker vos crypto-monnaies hors ligne dans un portefeuille matériel inviolable , plutôt que d’interagir avec les crypto-monnaies en ligne, est également une bonne pratique.

3 – BOTS DE PHISHING

Il y a cinq ans, une armée de « robots » a influencé à la fois le référendum sur le Brexit et l’ élection présidentielle américaine . Par exemple, il existe un type d’attaque créé pour voler nos précieuses graines de récupération.

En mai 2021, le portefeuille MetaMask basé sur Ethereum a attiré l’attention des utilisateurs pour une attaque de phishing perpétrée par des robots volant des Recovery Seeds via Twitter. « La demande de phishing provient d’un compte qui semble ‘normal’ (mais peu suivi), suggère de remplir un formulaire d’assistance sur un site vérifié comme Google Sheets (difficile à bloquer).

Metamask suggère d’utiliser uniquement le support des applications officielles, mais même s’il peut sembler judicieux de vérifier que le message provient d’un compte officiel, cette stratégie n’est pas infaillible : les comptes de réseaux sociaux peuvent être piratés comme n’importe quel autre, comme l’a démontré le grand 2020. Piratage de Twitter qui a rapporté aux cybercriminels 121 000 $ en bitcoins.

4 – FAUSSES EXTENSIONS DE NAVIGATEUR

Dans le monde de la cryptographie, nous sommes habitués à utiliser diverses extensions de navigateur, comme MetaMask qui s’avère particulièrement populaire. Malheureusement, les cybercriminels utilisent cette prédilection à leur avantage en créant de fausses extensions et en volant des fonds aux utilisateurs. L’année dernière, une extension Chrome dangereuse appelée Ledger Live a été téléchargée plus de 120 fois avant d’être bannie du Chrome Web Store. Fait troublant, les attaquants ont pu exploiter Google Ads pour promouvoir le produit et gagner un air de légitimité.

La leçon à retenir ? Ne comptez pas uniquement sur les magasins d’applications pour vérifier correctement les extensions qu’ils mettent à disposition. Si vous téléchargez une extension de navigateur crypto, vérifiez sa page de profil pour vous assurer qu’elle contient de nombreux avis et qu’elle provient d’un développeur de confiance. Examinez les autorisations demandées par l’extension (Paramètres Chrome> Extensions> Détails) pour vérifier qu’elles sont conformes à ses fonctionnalités. Enfin, vous pourriez télécharger une extension directement depuis un lien présent sur le site Internet de l’entreprise, sans passer par une recherche sur l’App Store.

5 – PHISHING SUR GLACE

Dans cette forme de phishing, l’attaquant enverra à la victime une fausse transaction qui semble provenir d’une source légitime. La transaction nécessitera que la victime la signe avec sa clé privée.

En d’autres termes, la victime est amenée à signer une transaction qui transfère l’autorité sur ses jetons au fraudeur. Si la victime continue, elle aura sans le savoir transféré la propriété de ses jetons à l’attaquant.

CONCLUSION

Il existe d’autres règles générales que vous devriez envisager de suivre pour vous protéger contre les escroqueries par phishing. Par exemple, il est judicieux de mettre en signet les sites vérifiés sur lesquels vous publiez généralement des informations sensibles. Il en va de même pour l’enregistrement des adresses e-mail des contacts des sociétés de crypto-monnaie avec lesquelles vous interagissez. D’innombrables personnes ont été victimes d’e-mails de phishing ou de sites Web malveillants dotés d’une bonne rédaction et d’une adresse Web légitime. Cela peut sembler une tâche fastidieuse, mais vérifier les URL est une bonne habitude à prendre.

Connaître les escroqueries par phishing est la première et la plus importante étape pour protéger vos actifs cryptographiques dans un monde de plus en plus numérique. Suivez les conseils ci-dessus et la seule chose dont vous aurez à vous soucier… est d’acheter un bon portefeuille matériel et de commencer à l’utiliser consciemment, en évitant de divulguer votre Recovery Seed même à votre femme…