Imaginez tomber sous le coup d’une attaque de phishing qui a volé une partie importante de vos économies de crypto, pour découvrir qu’un bon Samaritain vous l’avait rendu par la bonté de leur cœur.

Cela peut sembler irréaliste, mais c’est l’expérience exacte qu’a connue une récente victime d’escroquerie par hameçonnage. L’utilisateur de Twitter Harv (@punk_cipher) a récemment tweeté que les escrocs de phishing avaient vidé leur application Trust Wallet.

Plus tard le même jour, le chercheur en sécurité Harry Denley les a informés qu’il avait réussi à intercepter les attaquants et à sécuriser environ la moitié des devises numériques volées.

Un utilisateur de Trust Wallet victime d’une escroquerie de phishing de 10 000 $

Même si d’autres se sentaient trop gênés pour être rendus publics, Harv a révélé l’arnaque via Twitter au début du 28 juin. Avec le recul, ils seront ravis de l’avoir fait.

Denley, un expert en sécurité antiphishing, a révélé que l’application Trust Wallet de Harv avait été piratée et vidée. Un Harv désemparé a expliqué qu’ils avaient perdu environ 10 000 $ en crypto-monnaie. Ils ont ajouté avec un emoji au visage triste:

Je pense que j’ai fini.

Étonnamment, moins de deux heures après le tweet original, Denley a répondu avec une bonne nouvelle inattendue qui aurait sûrement ravi la victime. Denley a demandé à Harv de lui envoyer un message direct, car il avait réussi à récupérer environ 4 000 $ des fonds volés.

Denley a promis de révéler comment il avait réussi à récupérer les fonds le 28 juin. Et c’est exactement ce qu’il a fait dans un article medium publié lundi.

Arnaquer un escroc: comment Denley a récupéré 4K $ dans l’Ether

Appelant cela un «événement spécial», Denley a révélé que la victime dans cet exemple avait installé une version malveillante de l’application Trust Wallet. L’expert en crypto note que ce cas de phishing était un peu différent de ceux qui affligent l’industrie des crypto-monnaies depuis des années.

La fausse version du logiciel a été répertoriée sur le Google Play Store officiel. Les captures d’écran de la boutique d’applications montrent que les utilisateurs ont examiné le portefeuille de confiance plus de 600 fois et l’ont classé respectable trois étoiles et demie.

Le niveau de sophistication ici est absent de la plupart des escroqueries par phishing. Des fichiers APK malveillants comme ceux-ci sont généralement hébergés sur des sites Web tiers. Denley a exécuté l’application dans un environnement sandbox et l’a décompilée. Il a ensuite découvert que l’application malveillante chargeait une WebView, invitant les utilisateurs à entrer leur clé mnémonique pour restaurer un portefeuille.

Marqué comme une application officielle et téléchargeable à partir d’une source légitime, il est facile de voir pourquoi la victime est tombée dans l’arnaque.

Piste d’indices

Bien sûr, la saisie de la clé mnémonique dans la fenêtre contextuelle WebView n’a pas restauré le portefeuille. En fait, il a déclenché un message d’erreur lors de l’envoi simultané de l’entrée de l’utilisateur à un script côté serveur.

«Shoddy code», comme Denley le décrit, signifiait qu’une mauvaise configuration avec le domaine de l’attaquant laissait son journal d’erreurs exposé via Telegram. Denley a réussi à forcer une erreur dans l’application de messagerie en la spammant avec, enfin, des messages. Après avoir craqué les clés API du bot Telegram, il a ensuite inondé l’interface du programme d’application (API) Telegram.

Cela a amené le programme à envoyer tous les messages de discussion privée des escrocs directement à Denley via le journal des erreurs. Il a ensuite installé une balayeuse personnalisée pour vider le contenu des portefeuilles volés à l’aide de la phrase mnémonique capturée. Il l’a fait par intervalles de 180 secondes.

Avec quelques ajustements supplémentaires, Denley a été en mesure de manipuler le propre bot des attaquants pour signaler les conversations privées des membres de la chaîne Telegram. Il a découvert l’identifiant Telegram de l’attaquant, un utilisateur qui porte le surnom de «George». Les escrocs parlaient tous turc.

Balayer le contenu du portefeuille

La contre-attaque de Denley n’a pas été détectée pendant environ 15 heures entre le 28 juin et le 29 juin. Finalement, les escrocs ont remarqué le flot de messages spammant leurs conversations.

Ils auraient modifié le journal des erreurs et supprimé le bot Telegram. Denley pense que les escrocs disposeront d’autres robots, mais s’engage à envoyer des fausses clés privées dans les journaux du pirate informatique entre-temps. Cela devrait permettre aux victimes de gagner du temps pour sécuriser leurs actifs cryptographiques.

Retrouver les victimes

Avec toutes les informations sur la transaction, Denley a continué d’intercepter plusieurs autres tentatives de vidange des portefeuilles. Il a réussi à trouver les adresses des portefeuilles concernés et a ensuite entrepris de réunir les utilisateurs avec leurs avoirs.

Il a d’abord fouillé Twitter pour l’adresse de la plus grande victime, ce qui l’a finalement conduit à Harv. Après avoir entamé une conversation, Denley leur a demandé de signer un message spécifique avec leurs clés. Cela a permis à l’expert de restituer les fonds, en toute confiance, au propriétaire confirmé.

Harv a répondu avec joie au résultat de lundi:

Rester en sécurité contre les attaques de plus en plus sophistiquées

Les attaques de phishing ont généralement des signaux d’alarme majeurs qui empêchent tous les utilisateurs, à l’exception des plus vulnérables, d’être victimes. Par exemple, BeInCrypto a rapporté en janvier que des escrocs usurpaient l’identité de Ledger, le portefeuille matériel. De fausses chaînes YouTube sous les noms de «Ledger» et «Ledger Nano» ont fait la promotion d’un portefeuille Web compromis offrant des fonds gratuits.

Le premier drapeau rouge, dans ce cas, est le fait que Ledger ne ferait pas la promotion d’un nouveau produit exclusivement via YouTube. Les entreprises publient généralement des communiqués de presse détaillant leurs lancements. Il n’est pas difficile de vérifier les archives des versions de Ledger pour obtenir des informations à ce sujet.

Le deuxième drapeau rouge est le nombre de Bitcoins que ces promotions d’escroquerie offrent aux gagnants «chanceux». Ledger a signalé des vidéos sur Twitter montrant jusqu’à 2 000 BTC de bonus. Pourquoi diable Ledger donnerait-il plus de 18 millions de dollars juste pour lancer un portefeuille Web?

L’escroquerie de phishing de Trust Wallet, en revanche, est beaucoup plus subtile. L’application malveillante provient du magasin officiel de Google Play. Il a des critiques, une note positive et porte la même image de marque que la version officielle.

Faites votre propre recherche

Puisqu’il se faisait passer pour un portefeuille officiel, la demande d’entrer la phrase mnémonique n’est guère un drapeau rouge. La plupart des applications de portefeuille proposent des options pour charger un portefeuille existant à partir d’une clé privée ou d’une phrase de départ. Ou pour en créer un nouveau au lancement.

Bien que Trust Wallet ait fait un excellent travail d’emprunt d’identité, il est toujours possible de vous protéger contre de telles escroqueries. La meilleure façon de le faire est de toujours vous diriger vers la source pour tous les téléchargements – le site officiel ou GitHub du projet.

Le site Web officiel de Trust Wallet invite les utilisateurs à télécharger directement à partir de Google Play ou des magasins Apple. Cependant, il est également lié au produit officiel, qui a beaucoup plus d’avis, de téléchargements et d’une note plus élevée.

Certaines des victimes ci-dessus savaient peut-être que Trust Wallet est pris en charge sur Google Play et pensaient qu’elles gagneraient un peu de temps en se rendant directement sur place. Malheureusement, un peu de commodité entraîne presque toujours une baisse de sécurité.

Lorsque vous traitez de grandes quantités d’argent, comme dans le cas de Harv, la sécurité doit toujours primer sur la commodité.

Vous souhaitez vous joindre à la communauté BeInCrypto?
Rejoignez gratuitement notre groupe Telegram pour des nouvelles exclusives, des conseils de trading et une foule d’interactions avec d’autres passionnés de cryptomonnaies.

Images gracieusement fournies par Shutterstock, TradingView et Twitter.