Les arnaques de type phishing font malheureusement de plus en plus de victimes dans l’écosystème des cryptomonnaies. Rien qu’en mars dernier, ces attaques ont engendré la perte de 71 millions de dollars. Et chaque semaine apporte son lot de nouveaux cas, souvent orchestrés de manière très sophistiquée pour berner même les utilisateurs les plus avertis.
1.7 million de dollars s’envolent suite à un phishing se faisant passer pour Coinbase
Le dernier exemple en date nous vient de Tegan.eth, cofondatrice de TheGraph et Edge & Node, qui a révélé dimanche la mésaventure d’une de ses connaissances. Le portefeuille crypto de ce proche s’est fait siphonner de 1.7 million de dollars suite à une attaque de phishing très bien ficelée.
L’arnaqueur s’est fait passer pour un employé de Coinbase lors d’une conversation téléphonique avec la victime. Pour mettre sa cible en confiance, le faux agent a même envoyé un email de “confirmation” laissant penser qu’il était bien un employé légitime de la plateforme d’échange.
Il a passé du temps à me parler et à me donner des informations sur mes anciennes adresses. J’ai dit que ces choses étaient vraies, mais je lui ai alors demandé comment je pouvais savoir qu’il était bien celui qu’il prétendait être.
La victime de l’arnaque
Au cours de l’appel, l’escroc a annoncé à sa victime que des transactions suspectes avaient été détectées sur son adresse principale. Il a alors transmis un lien pour soi-disant “stopper l’attaque en cours”. Sans surprise, ce lien menait en réalité vers un site de phishing demandant d’entrer sa phrase de récupération (seed phrase).
Trois petites heures après avoir communiqué ses précieuses informations, le propriétaire du wallet a eu la mauvaise surprise de constater que son compte avait été vidé de son contenu, soit environ 1.7 million de dollars principalement en Bitcoin et Ethereum, mais aussi du GRT, MATIC et DOT.
Phishing et ingénierie sociale : un cocktail redoutable
Cette attaque démontre une nouvelle fois la redoutable efficacité du phishing quand il est combiné avec des techniques d’ingénierie sociale. Dans un premier temps, le pirate cherche à mettre en confiance sa victime en se faisant passer pour quelqu’un de légitime (ici un employé de Coinbase). Une fois la méfiance dissipée, il peut alors passer à la deuxième phase : l’envoi d’un lien frauduleux.
Le site web utilisé ici reproduisait à l’identique le design de Coinbase pour ne pas éveiller les soupçons. En appliquant ce savant mélange de social engineering et de phishing, les cybercriminels arrivent à leurs fins même face à des utilisateurs normalement prudents et expérimentés.
Personne n’est à l’abri :
- La fondation Ethereum elle-même a déjà été ciblée par des attaques similaires
- Un pirate avait pris le contrôle d’une adresse email pour partager un lien de phishing
- Toujours vérifier la légitimité des demandes avant de communiquer des infos sensibles
Quelques conseils pour se protéger du phishing crypto
- Ne jamais communiquer sa phrase de récupération, même à quelqu’un se faisant passer pour un tiers de confiance
- Toujours vérifier l’authenticité d’un site avant d’y rentrer des données sensibles
- Activer la double authentification (2FA) partout où c’est possible
- Privilégier le stockage de ses cryptos sur un hardware wallet
- Faire preuve de prudence et de bon sens face à toute demande suspecte
Si ces conseils de base sont appliqués, vous mettrez toutes les chances de votre côté pour déjouer les tentatives de phishing et préserver la sécurité de vos cryptoactifs. La vigilance est de mise à chaque instant !
