Une nouvelle année est arrivée et de nouveaux hacks et escroqueries se préparent dans le monde des cryptomonnaies. Outre les vieux ransomwares classiques, les e-mails de phishing et les fausses plateformes d'investissement, d'autres tactiques de vol deviennent très populaires parmi les cybercriminels. Ces attaques ont évolué parallèlement à la maturation de l’espace cryptographique, soulignant le besoin urgent de mesures de sécurité renforcées. Il s'agit d'une diminution importante par rapport à 2022 et aux années précédentes, mais ce n'est en aucun cas un chiffre insignifiant. Les fraudes, les escroqueries, les marchés du darknet, les logiciels malveillants, les entités sanctionnées et autres fonds volés en pièces stables, Bitcoin, Ether et autres altcoins sont inclus dans leur rapport. Selon les estimations de Analyse en chaîne, plus de 24 milliards de dollars ont été reçus par des adresses illicites en 2023. Le message semble clair : nous devons prendre bien soin de nos pièces. Pour ce faire, outre l’application de quelques mesures de base, nous devons également connaître les menaces potentielles. Découvrons ce que font les escrocs ces derniers temps. Smishing Peut-être avez-vous déjà reçu un message texte (SMS) de ce style : « Coinbase vous informe d'une transaction approuvée de 570 $ en BTC le 30/01/24. Si vous ne reconnaissez pas cette opération, annulez ici [Lien]. Ou peut-être un ou un ami pourrait vous demander des pièces après avoir perdu son portefeuille à l'étranger, ou un échange cryptographique douteux vous propose une offre alléchante pour rejoindre son site Web. parent échoué Le schéma du « smishing » est similaire dans tous les cas : de cette façon : vous recevez un SMS, souvent provenant d'un numéro inconnu, vous demandant des informations privées ou vous invitant à cliquer sur un lien après avoir utilisé diverses excuses et fausses identités. IBM définit « Le smishing est une attaque d'ingénierie sociale qui utilise de faux messages texte sur mobile pour inciter les gens à télécharger des logiciels malveillants, à partager des informations sensibles ou à envoyer de l'argent à des cybercriminels. Le terme « smishing » est une combinaison de « SMS » (ou « service de messages courts », la technologie derrière les messages texte) et de « phishing ». Coinbase ceci dans leurs quartiers, en effet. Certains « smishers » ont trompé leurs employés par SMS pour qu'ils partagent leurs informations d'identification institutionnelles. Heureusement, l’incident a été rapidement repéré et l’escroc a été bloqué. Pour éviter d'être vous-même victime, vérifiez toujours le numéro de téléphone qui envoie le SMS (même ce numéro peut être falsifié), et ne cliquez pas sur les liens envoyés par SMS à moins de connaître et de faire entièrement confiance à la source et de reconnaître le domaine vers lequel mène le lien. à. expérimenté Escroqueries amoureuses (boucherie de porcs) Ce système n’est pas nouveau, mais il connaît une croissance exponentielle. Des pertes d'au moins 1 milliard de dollars ont été signalées aux États-Unis pour 2022, tandis que la société de cybersécurité Verafin que Les fraudeurs recherchent particulièrement les non-initiés en technologie dans le monde entier, mais cela peut arriver à n’importe qui, partout. Des réseaux criminels entiers y travaillent, et des experts une sévérité plus élevée pour 2024. estimé 3,8 milliards de dollars ont été volés grâce à ces escroqueries en 2023, ce qui représente jusqu'à 1 million de dollars par victime. les personnes âgées prédisent Les réseaux sociaux, les chats, les applications et les forums nous permettent de nous connecter avec toutes sortes de personnes dans le monde, et il n'est pas toujours possible de leur faire confiance. Les fraudeurs pourraient commencer à prétendre aimer les mêmes choses que leurs victimes, en visitant les mêmes sites Web ou événements en ligne pour nouer une fausse amitié. Dans d’autres cas, ils écrivent directement via Facebook, Discord, Twitter (X) ou des applications de rencontres comme Tinder. Ils sont patients, car ils peuvent parler quotidiennement avec leurs victimes pendant des mois. Ils peuvent inclure des histoires sanglantes sur une crise financière, les frais d’expédition, les enfants restés à la maison, une urgence médicale, ou autre. Les paiements sont souvent demandés en cryptomonnaie. Juste lorsqu’ils ont un certain niveau de confiance, ou même après avoir déclaré leur amour éternel à la victime, ils commencent à demander de l’argent ou des faveurs coûteuses. D’un autre côté, au lieu de demander directement de l’argent ou des choses, ils peuvent recommander une plateforme d’investissement cryptographique, en expliquant comment ils ont obtenu des revenus juteux grâce à elle. Bien sûr, tout cela est faux, et ils sont soit propriétaires, soit membres du personnel d’un tel stratagème frauduleux. Comme le dit la Commission fédérale du commerce des États-Unis : "Si un amoureux en ligne vous demande de l'argent [ou d'investir de l'argent], c'est une arnaque." informé Faux codes QR / Quishing De nos jours, il est assez courant de trouver des codes de réponse rapide (QR) partout. Ce ne sont que de petits carrés avec un motif monochrome à l'intérieur, faciles à scanner avec n'importe quel smartphone pour découvrir un large éventail de contenus numériques : menus de restaurant, systèmes de paiement, sites Web, e-mails, installateurs d'applications, adresses cryptographiques et… logiciels malveillants. Ou des sites frauduleux. Ou pas l’adresse crypto à laquelle vous aviez l’intention d’envoyer des fonds. En tant qu'équipe de cybersécurité d'Aura , les codes QR ne sont pas toujours sûrs à scanner. , et de la partager rapidement numériquement (via les réseaux sociaux, les chats, le courrier, les sites Web frauduleux, etc.) ou physiquement (en l'imprimant). Dans ce dernier cas, il est même courant de coller un code QR frauduleux sur un code légitime, par exemple dans les parkings. expliqué Il est assez simple pour n'importe qui, où qu'il soit, de créer sa propre image QR avec un lien ou des données personnalisés Ce type d’escroquerie est souvent appelé « Quishing », du fait de la fusion entre QR et phishing. Cela peut affecter tous les types d’utilisateurs de QR, y compris ceux disposant d’un portefeuille crypto. Ils pourraient trouver une offre alléchante ou un parachutage via les réseaux sociaux, scanner un code QR et être envoyés vers un site Web malveillant qui leur demanderait leurs clés privées ou installerait des logiciels malveillants. Générateurs QR frauduleux Une autre façon d’arnaquer les utilisateurs de crypto à l’aide de codes QR consiste à créer une plate-forme frauduleuse de générateur de QR. Dans cette veine, a découvert que en 2019. Sur ces plateformes, lorsque l'utilisateur tentait de générer un code QR pour son adresse BTC, le système le ferait. génère automatiquement un code pour l'adresse BTC de l'escroc. ZenGo « 4 des 5 premiers résultats présentés lors de l'interrogation de Google [Bitcoin QR Generator] menaient à des sites frauduleux » Cela ne semble plus être le cas, comme nous l'avons vérifié nous-mêmes. Cependant, ce type d'arnaque n'est pas terminé mais s'est apparemment déplacé vers des pièces privées comme Monero (XMR), comme souligné. C'est pourquoi il est toujours important de vérifier visuellement chaque adresse et URL cryptographiques avant d'envoyer des fonds ou de saisir des informations d'identification. rapports récents Menaces liées à l'IA Nous sommes probablement confrontés au boom de l’intelligence artificielle (IA) dans tous les secteurs. Et cela inclut également le secteur de la criminalité. Les outils d’IA gagnent en sophistication, en disponibilité et en convivialité, ce qui a dû être remarqué par les cybercriminels. , grâce à une myriade d'outils gratuits en ligne. Aujourd'hui, il est possible de cloner des voix , copiez des visages exacts sur vidéo (deepfakes) et générez du contenu écrit assez convaincant Par conséquent, un scénario dans lequel un proche vous appelle pour vous demander une aide financière urgente et que vous reconnaissez sa voix (même si ce n'est pas lui), cela pourrait arriver. Plusieurs experts conseillent déjà de créer un mot de passe familial pour éviter ce genre d'arnaque. Les vidéos d’IA peuvent être plus difficiles à repérer, car les cybercriminels peuvent modifier n’importe quelle vidéo originale pour faire ressembler ses participants à quelqu’un d’autre (comme une célébrité) et/ou parler de tout autre chose, comme une plateforme d’investissement crypto « incroyable ». C'est ce qui est arrivé à Ottawa News en janvier 2024. l'histoire d'un couple de personnes âgées victime d'une arnaque cryptographique courante et, deux semaines plus tard, une fausse vidéo d'eux est apparue sur les réseaux sociaux, entièrement basée sur l'histoire originale. Ils ont publié Cependant, dans la version frauduleuse, ils recommandaient l’utilisation d’une plateforme d’investissement cryptographique douteuse. https://www.youtube.com/watch?v=e5y3qSB3PLo&embedable=true Comment savoir ce qui est réel, alors ? Dans le cas des deepfakes vidéo, pour vérifier les expressions faciales, les clignements des yeux, les mouvements des lèvres et les angles de lumière. Si l’un de ces traits semble étrange dans un certain sens, il s’agit probablement d’un deepfake. En outre, le bon sens pourrait être d’une grande aide : cette personne célèbre ou ce portail d’information recommande-t-il vraiment un programme pour devenir riche rapidement ? Probablement pas. Si cela semble trop beau pour être vrai, ce n’est probablement pas vrai. Il est conseillé Faux robots de trading Parfois, les escrocs n’ont même pas besoin d’utiliser une véritable technologie d’IA, mais font simplement semblant de l’utiliser. De nombreux sites Web d’investissement cryptographique affirment utiliser des robots, des algorithmes de trading automatisés et l’IA en général pour investir ou échanger avec les fonds donnés par leurs clients, promettant des rendements incroyablement énormes. Bien entendu, tout cela est faux. Ce n’est que lorsque l’utilisateur essaie de retirer ses prétendus gains qu’il se rend compte qu’il n’y a pas de fonds, crypto ou autre. La Commodity Futures Trading Commission (CFTC) des États-Unis : Généralement, ils créent de faux tableaux de bord permettant aux victimes de vérifier la « croissance » de leur investissement, alors qu’en réalité, ils ont tout pris dès le départ. prévenu à ce sujet « Les fraudeurs exploitent l’intérêt du public pour l’intelligence artificielle (IA) pour vanter des algorithmes de trading automatisés, des stratégies de signaux commerciaux et des systèmes de trading de crypto-actifs qui promettent des rendements déraisonnablement élevés ou garantis. Ne croyez pas les escrocs. La technologie de l’IA ne peut pas prédire l’avenir ni les changements soudains du marché. Astuces Discorde Discord est une plateforme de communication utile, utilisée par des millions de personnes dans le monde. Cela inclut également la majeure partie du monde des crypto-monnaies : il est étrange qu'un projet, une pièce ou une marque de cryptographie ne dispose pas de son propre serveur Discord à partager avec sa communauté. Un fait largement connu des cybercriminels, qui se mêlent volontiers au sein de cette communauté, attendant l'occasion d'arnaquer quelqu'un. Cela n'est peut-être pas si différent du phishing courant, mais le problème majeur ici est que En faisant confiance aux dirigeants et aux modérateurs, les utilisateurs cliqueraient sur ces liens et perdraient potentiellement leurs fonds cryptographiques et leurs jetons non fongibles (NFT). les pirates informatiques ciblent les serveurs cryptographiques sur Discord et s'emparent d'une manière ou d'une autre des comptes des administrateurs pour publier de fausses annonces et des liens malveillants. ont subi cette attaque, y compris des marques NFT populaires comme le Bored Ape Yacht Club (BAYC), Mars Cats Voyage, Known Origin et Homeless Friends. D'autres serveurs crypto comme , , , , , , , et même ont également brièvement subi ce hack, avec des résultats différents. De nombreux projets crypto Financement de l'orbiteur Métaclé Arbitrage Réseau Sei Polémos Valheim Réseau Sui Ooctet Il est important de se rappeler que, contrairement aux crypto-monnaies, Discord et les autres plateformes de chat n'ont pas été conçues pour la sécurité depuis le début. N'oubliez jamais de vérifier d'abord les annonces provenant d'autres sources (en particulier les sites Web/blogs officiels) avant d'envoyer des fonds ou de saisir des informations d'identification sur des sites Web externes. Appliquez les mesures de sécurité ! Maintenant que vous connaissez certaines menaces potentielles, vous pouvez sûrement appliquer certaines mesures pour protéger vos fonds cryptographiques et vos données personnelles. Vous pouvez également installer des outils de sécurité supplémentaires, comme une extension de navigateur pour (bien sûr, soyez sceptique quant à tout ce qui promet de « sécurité »). Ils peuvent vous aider à identifier et bloquer les sites Web de phishing ou frauduleux. Gardez vos appareils et votre logiciel antivirus à jour. sécurité web3 Si vous ne connaissez pas l'expéditeur (numéro de téléphone, e-mail ou URL), ne l'ouvrez pas. Ne cliquez jamais sur des liens d’origine douteuse, qu’ils arrivent par SMS, email ou réseaux sociaux. , en particulier dans les crypto-monnaies. Méfiez-vous de la manipulation émotionnelle et maintenez un niveau sain de scepticisme. Ne faites pas aveuglément confiance lorsqu'on vous demande de l'argent ou qu'on vous donne des recommandations d'investissement ou remplacez-les par des textcoins, des noms d'utilisateur ou des e-mails . Cette fonctionnalité est disponible via le portefeuille (onglets Envoyer et Recevoir). Vérifiez toujours vos adresses cryptographiques et vos codes QR, en Obyte Dans Obyte, il est possible de supprimer vos mots de sauvegarde (après les avoir sauvegardés ailleurs), , et connectez-vous via le navigateur privé Tor. Assurez-vous d'activer toutes les fonctionnalités de sécurité disponibles sur les réseaux sociaux (comme 2FA) et dans votre portefeuille crypto personnel. exiger un mot de passe pour envoyer des fonds et ouvrir le portefeuille Image vectorielle en vedette par Freepik
