Le Phishing dans le monde de la Crypto

Alessandro G
Alessandro G
  • Mise à jour

Le phishing (hameçonnage) ne se limite plus aux faux e-mails d’un prétendu « prince » demandant un virement bancaire. Dans le monde des cryptomonnaies, il s’agit d’une tentative sophistiquée, automatisée et à haut risque visant à vous inciter à céder vos actifs.

Alors que les hackers traditionnels s'attaquent au code informatique, les phisheurs s'attaquent à la psychologie humaine. Ils exploitent la peur, la curiosité et la « peur de rater quelque chose » (FOMO) pour voler des mots de passe, des phrases de récupération (seed phrases) et des actifs numériques.

L'évolution : au-delà de l’e-mail

La définition classique concerne l'e-mail, mais le phishing crypto moderne est omnicanal. Il se manifeste sur :

  • Les moteurs de recherche : Les escrocs achètent des publicités sur Google pour des termes comme « Trezor Support » ou « Metamask Login » afin de vous diriger vers de faux sites.

  • Les réseaux sociaux : De faux bots de « Support Client » sur X (Twitter), Discord et Telegram qui vous contactent par message privé (DM) en proposant de « synchroniser votre portefeuille » ou de « corriger votre transaction ».

  • Les applications de rencontre : Connue sous le nom de « Pig Butchering » (dépeçage de porc), cette technique voit les escrocs instaurer une confiance romantique à long terme avant de vous convaincre d'investir dans une fausse plateforme crypto.

4 tactiques spécifiques à la crypto que vous devez connaître

Pour protéger vos actifs, vous devez reconnaître les tactiques propres au monde de la blockchain.

1. L'Ice Phishing (le piège du « Permit »)

Contrairement au phishing traditionnel où vous remettez un mot de passe, l’Ice Phishing vous trompe pour vous faire signer une permission malveillante sur la blockchain.

  • Le piège : Vous essayez de créer (mint) un NFT gratuit ou de réclamer un airdrop sur un site Web. Une fenêtre contextuelle apparaît vous demandant d'« Approuver » ou de « Signer » une transaction.

  • La réalité : Vous ne réclamez pas un objet ; vous signez une signature setApprovalForAll ou un « Permit ». Cela accorde au contrat intelligent de l'attaquant la permission de déplacer tous vos jetons sans votre aide. Ils vident votre portefeuille quelques minutes plus tard.

  • Défense : Ne signez jamais une transaction à moins de savoir exactement ce qu'elle fait. Lisez attentivement la demande de permission, si elle demande l'accès à tous vos fonds, rejetez-la.

2. L'Address Poisoning (Empoisonnement d'adresse)

Cette technique repose sur votre habitude de copier-coller des adresses.

  • Le piège : Les escrocs surveillent la blockchain. Lorsqu'ils vous voient envoyer une transaction, ils utilisent un logiciel pour générer une « adresse vanité » qui semble identique à la vôtre à 95 % (correspondant aux 4 premiers et derniers caractères). Ils vous envoient 0,00 $ de jetons (dust) ou un faux NFT depuis cette adresse.

  • L'objectif : Ils espèrent que la prochaine fois que vous devrez copier votre adresse à partir de votre historique de transactions, vous copierez accidentellement leur adresse similaire au lieu de la vôtre.

  • La défense : Ne copiez jamais d'adresses aveuglément depuis votre historique. Vérifiez toujours chaque caractère ou utilisez la fonction « Carnet d'adresses » de votre application de portefeuille.

3. Les Wallet Drainers (Videurs de portefeuille)

Il s'agit de kits d'« arnaque en tant que service » vendus à des criminels. Ils scannent automatiquement votre portefeuille dès que vous le connectez à un faux site.

  • Le piège : « Urgent ! Votre portefeuille est compromis. Cliquez ici pour sécuriser vos actifs. »

  • La réalité : Le site exécute un script qui détecte vos actifs les plus précieux et vous invite à signer une transaction pour les « déplacer » en toute sécurité. En réalité, vous les envoyez au hacker.

4. Faux support et usurpation d'identité

Les hackers falsifient souvent des e-mails ou créent de faux profils sur les réseaux sociaux en se faisant passer pour le support technique.

  • Le piège : « Nous avons besoin que vous vérifiiez votre identité pour débloquer votre compte. Veuillez répondre avec votre phrase de récupération de 12 mots. »

  • La règle : Aucun agent de support légitime, y compris le personnel de SwissBorg, ne vous demandera JAMAIS votre mot de passe, votre phrase de récupération de 12 mots ou vos clés privées.

Protocoles de sécurité spécifiques à SwissBorg

Si vous êtes un utilisateur de l'application SwissBorg, respectez ces règles de communication strictes :

  1. Support intégré à l'application uniquement : Utilisez uniquement le Centre d'aide SwissBorg et l'onglet Support pour communiquer avec le service client.

  2. Sources officielles : N'installez pas de mises à jour de l'application à partir de sites Web tiers. Toutes les mises à jour de l'application SwissBorg sont uniquement disponibles sur l'Apple App Store et le Google Play Store.

  3. Zéro confiance : Si vous recevez un e-mail prétendant provenir de SwissBorg demandant des identifiants personnels ou un paiement, c'est une arnaque.

Comment signaler un hameçonnage

La sécurité est un effort communautaire. Signaler les arnaques aide à fermer des domaines et à mettre des adresses de portefeuilles sur liste noire, sauvant ainsi d'autres utilisateurs.

  1. Chainalysis & CryptoScamDB : Signalez les adresses crypto et les domaines suspects à CryptoScamDB. Cette base de données alimente les outils de sécurité qui avertissent les autres utilisateurs.

  2. Navigation sécurisée Google : Si vous trouvez un site de phishing, signalez-le à Google Safe Browsing pour qu'un « avertissement rouge » soit placé sur le site pour les utilisateurs de Chrome.

  3. Signalement par e-mail : La plupart des fournisseurs (comme Gmail) vous permettent de signaler un message spécifique comme « Phishing » via les options du menu en haut à droite.

  4. Autorités judiciaires : Pour les pertes importantes, déposez un rapport auprès des autoritées locales de lutte contre la cybercriminalité (ex: IC3 aux États-Unis, Action Fraud au Royaume-Uni).

Résumé : Les règles d'or

  • Ne faites pas confiance, vérifiez : Survolez toujours les liens pour voir la véritable URL.

  • Mettez les sites officiels en favoris : Ne cherchez jamais votre plateforme d'échange sur Google ; utilisez vos favoris.

  • Utilisez un portefeuille matériel (Hardware Wallet) : Pour les montants importants, utilisez un Ledger ou un Trezor.

  • Vérifiez les autorisations : Utilisez régulièrement des outils comme Revoke.cash pour vérifier quels sites Web ont la permission de déplacer vos fonds et révoquez l'accès aux sites anciens ou suspects.

  • Vous savez désormais exactement ce qu’est le phishing.

Cet article vous a-t-il été utile ?