La mise en faillite de FTX a provoqué le malaise et la peur chez les détenteurs de cryptomonnaies. Les cybercriminels n’hésitent pas à en jouer.
Le phishing s’intensifie dans les projets crypto
Alors que le secteur crypto commence à agir pour se remettre de la chute de FTX, la peur provoquée par l’incident est devenu le pain quotidien des cybercriminels. Les détenteurs de cryptomonnaies comptent les jetons qu’il leur reste et font parfois état de pertes non négligeables, vivant désormais dans l’angoisse de la disparition de leurs actifs.
Il n’en a pas fallu davantage pour faire travailler l’imagination des arnaqueurs, qui jouent désormais sur le sentiment négatif des utilisateurs pour rendre leurs campagnes de phishing plus efficaces.
Dans cette optique, le projet Circle a récemment prévenu sa communauté de l’existence d’une campagne incitant les utilisateurs à transférer leurs USDC vers des portefeuilles crypto frauduleux en échange d’une nouvelle version de leur actifs.
Afin de rendre l’offre plus alléchante et surtout plus crédible, les cybercriminels usurpent l’identité de l’entreprise émettant les jetons tout en proposant un USDC plus solide. En effet, la pièce promise serait moins sensible aux caprices du marché tout en conservant sa parité avec le dollar, condition que le véritable USDC a perdue depuis l’effondrement de FTX et des cryptomonnaies. À l’heure de cette rédaction, le stablecoin s’échange aux alentours de 0,95 $.
Selon les dires de certains internautes, une autre campagne de scams crypto concernant l’USDC proposerait d’investir des jetons dans le trading en échange de hauts rendements. La prudence est donc recommandée.
Les faux services après vente pululent
Pendant ce temps, un autre type de phishing aurait récemment fait son apparition dans l’industrie. Celui-ci se ferait passer pour les équipes d’aide à la clientèle de grandes plateformes d’échange ou de wallets crypto.
Selon Beeping Computer, Coinbase ou encore MetaMask seraient particulièrement touchées par le phénomène. Le principe est simple : les cybercriminels font parvenir un email aux utilisateurs pour leur demander de confirmer une transaction. Les victimes, souhaitant stopper ce transfert imprévu de leurs actifs, cliquent donc sur un lien de vérification censé les rediriger vers un formulaire d’authentification. S’en suit ensuite une véritable procédure qui permettra aux auteurs du méfait de collecter les informations puis de les utiliser pour vider le portefeuille de leur victime.
Quelles que soient les informations d’identification saisies lors de cette étape, elles seront toujours volées par les acteurs de la menace. La page passe ensuite à une invite demandant le code 2FA nécessaire pour accéder au compte. Les attaquants testent les informations d’identification saisies sur le site Web légitime, déclenchant l’envoi d’un code 2FA à la victime, qui saisit ensuite un 2FA valide sur le site de phishing. Les acteurs de la menace tentent alors d’utiliser le code 2FA saisi pour se connecter au compte de la victime tant qu’ils agissent avant la fin du délai.
Extrait du reportage de Beeping Computer concernant la campagne de phishing
Afin de maximiser leurs chances, les criminels renvoient ensuite la victime vers une fausse page de support client accompagnée d’un tchat d’aide tenu non pas par un employé de Coinbase ou Metamask, mais par l’arnaqueur lui-même. Prétextant le blocage du compte suite à une erreur d’authentification, celui-ci incite l’utilisateur à transmettre ses informations et mots de passe avant d’accéder au portefeuille crypto tant convoité.
Polkadot agit à son échelle contre les scams crypto
Alors que certaines entreprises cherchent encore à se protéger en prévenant leur communauté, Polkadot semble vouloir passer à la vitesse au-dessus. En effet, l’équipe du projet souhaite impliquer ses utilisateurs dans la chasse aux arnaques, avec une récompense à la clé.
Dans un communiqué, elle a annoncé la mise en place d’un système de prime en USDC qui sera versée à tous les utilisateurs luttant contre les scams crypto.
La prime incite la communauté à détecter et supprimer les sites frauduleux, ainsi que d’autres types d’arnaques, comme les faux profils de réseaux sociaux et des applications de phishing. La prime sera également versée pour créer du matériel pédagogique pour les utilisateurs, pour intégrer les portefeuilles, les échanges et les sociétés antivirus dans le giron en intégrant notre dépôt de phishing, pour protéger nos serveurs Discord contre les raids, et créer un tableau de bord anti-escroquerie.
Extrait du communiqué de Polkadot
Les différentes couches d’action seront ensuite vérifiées et validées par la communauté, dans l’optique d’en faire une initiative autonome. Le temps saura nous dire si cette dernière se sera montrée efficace dans le temps. En attendant, la méfiance reste de mise pour toute la crypto sphère.
Trusted
Avis de non-responsabilité
Avis de non-responsabilité : Conformément aux directives de The Trust Project, BeInCrypto s'engage à fournir des informations impartiales et transparentes. Cet article vise à fournir des informations exactes et pertinentes. Toutefois, nous invitons les lecteurs à vérifier les faits de leur propre chef et à consulter un professionnel avant de prendre une décision sur la base de ce contenu.
