Les attaques de social engineering dans la crypto

Il existe de nombreuses façons de tromper les propriétaires de portefeuilles crypto pour obtenir leurs seed phrases. Des acteurs malveillants pourraient leur envoyer un faux e-mail, créer une fausse version du site Web d'un service de crypto-monnaie, ou encore installer des logiciels malveillants sur leurs appareils. Cependant, presque tous ces stratagèmes ont un point commun : le social engineering.

Dans le contexte de la sécurité de l'information, cela fait référence à la manipulation d'une victime pour lui faire exécuter les ordres du fraudeur. Très souvent, le social engineering est tout ce qui est nécessaire. Alors, comment cela fonctionne-t-il et pourquoi ?

Qu'est-ce que le social engineering ?

Le social engineering, ou encore l'ingénierie sociale, est l'art de manipuler des individus pour qu'ils révèlent des informations confidentielles ou effectuent certaines actions qui compromettent la sécurité. Dans l'espace crypto, les tactiques de social engineering sont utilisées pour inciter les victimes à révéler des clés privées, à envoyer des crypto-monnaies à des adresses frauduleuses ou à installer des logiciels malveillants.

Prétendre être un employé et obtenir l'accès à des comptes personnels est une tactique courante de social engineering utilisée par les cybercriminels. Le social engineering repose sur l'erreur humaine et est difficile à détecter malgré les autres techniques d'exploitation disponibles.

Les erreurs humaines légitimes sont plus imprévisibles que les intrusions basées sur des logiciels malveillants qui exploitent les vulnérabilités des logiciels et des systèmes d'exploitation. Par conséquent, le social engineering augmente les chances d'un pirate de contourner les mesures de sécurité, car les personnes peuvent être plus facilement trompées.

Comment fonctionnent les attaques de social engineering ?

Les attaques de social engineering se déroulent en deux étapes principales. Dans la première étape, l'attaquant enquête sur sa cible pour recueillir des données de base essentielles telles que les points d'entrée et les protocoles de sécurité qui peuvent être vulnérables.

Avant de mener leurs activités malveillantes, les escrocs tentent de gagner la confiance de leurs cibles. Ils le font en offrant des incitations pour des actions qui vont à l'encontre des pratiques de sécurité, comme la divulgation d'informations confidentielles ou l'octroi d'accès à des ressources importantes.

Les attaques de social engineering sont étonnamment simples. Tout ce qu'un pirate a à faire est de convaincre quelqu'un qui est occupé, qui ne se doute de rien ou qui est confiant de suivre ses instructions. L'un des exemples les plus notoires de cette attaque a eu lieu lorsque des pirates ont dupé le personnel de Twitter pour qu'il leur donne accès à des processus confidentiels. Ils ont ensuite utilisé cet accès pour prendre le contrôle de comptes de haut niveau, comme ceux de Joe Biden, Elon Musk, Bill Gates et Kanye West, et ont incité leurs millions d'abonnés à transférer des fonds en Bitcoin directement aux pirates.

Ces attaques nuisibles sont choquantes de par leur facilité d'exécution et suivent généralement un schéma similaire.

• La première étape consiste à identifier et à enquêter sur les cibles possédant ce que l'attaquant recherche.
• Ensuite, ils tentent de s'infiltrer en établissant une relation de confiance avec la victime.
• Une fois la confiance établie, l'attaquant lance l'attaque proprement dite.
• Enfin, ils se retirent une fois que la victime aura effectué l'action souhaitée.

Ces attaques peuvent se produire par un simple échange d'e-mails ou une série de conversations sur les réseaux sociaux. Finalement, ces attaques peuvent conduire à partager vos données personnelles avec quelqu'un d'autre ou à vous exposer à des logiciels malveillants.

Types d'attaques de social engineering

Voici un aperçu des types courants d'attaques de social engineering dans l'espace crypto.

1. Attaques de phishing

Les attaques de phishing sont des e-mails ou des messages malveillants qui prétendent être des e-mails légitimes provenant d'entreprises de confiance. Ils visent à vous faire croire qu'ils sont réels afin de pouvoir voler des informations sensibles telles que les seed phrases et les mots de passe.

Les attaques de phishing peuvent se produire de deux manières :

Phishing de masse : Ce sont des e-mails ou des messages envoyés en masse à autant de personnes que possible. Le pirate espère que quelqu'un mordra à l'hameçon.

Spear phishing : Il s'agit d'attaques ciblées. Les pirates prennent le temps d'en apprendre le plus possible sur leurs victimes potentielles. Ils créent ensuite des messages crédibles pour les tromper. Ils ciblent stratégiquement des personnes éminentes telles que des célébrités, des cadres supérieurs et des personnalités politiques influentes.

Apprenez-en plus sur les attaques de phishing et la sécurité dans la communauté Tangem.

2. Pretexting

Le pretexting est une attaque de social engineering où quelqu'un crée un faux scénario pour inciter les autres à partager des informations sensibles. Les attaquants utilisant cette méthode doivent être plus convaincants pour gagner la confiance. 

Ils peuvent appeler une banque et prétendre être un employé, demandant aux clients de vérifier leurs mots de passe ou leurs données personnelles. Ces appels sont difficiles à détecter et souvent couronnés de succès. Bien que les e-mails ou les textos de phishing soient plus faciles à repérer, il est essentiel d'être conscient du pretexting et de savoir comment vous protéger.

3. Attaques par baiting

Les ingénieurs sociaux utilisent des attaques par baiting pour inciter les gens à infecter leurs ordinateurs avec des logiciels malveillants. Ces attaques sont le type le moins courant de social engineering. L'appât est généralement un cadeau, comme une clé USB ou un CD laissé dans des lieux publics tels que des bureaux et des universités. 

Si quelqu'un les ramasse et les branche sur son ordinateur, le système est compromis sans qu'il le sache. Méfiez-vous des pièces jointes d'e-mails qui proposent des logiciels gratuits ou d'autres cadeaux. Ils peuvent nuire à votre ordinateur, donc soyez toujours prudent.

4. Scareware

Le scareware est un logiciel malveillant qui vous fait croire que votre ordinateur est infecté par un malware. Il y parvient en affichant de faux avertissements de sécurité ou des pop-ups. Ces faux avertissements vous encouragent à télécharger un outil de suppression de virus, mais une fois téléchargé, l'outil s'avère être un malware lui-même. 

Le criminel derrière le scareware obtient alors l'accès à vos données. Ce logiciel vise également à vous inciter à acheter un faux logiciel de cybersécurité ou à révéler des informations confidentielles, telles que vos identifiants de connexion.

5. Quid Pro Quo

Une attaque Quid Pro Quo est une escroquerie de social engineering où les cybercriminels offrent quelque chose en échange d'informations personnelles. Les attaquants peuvent utiliser une fausse offre pour inciter les gens à révéler des détails sensibles tels que des adresses e-mail et des mots de passe. Ils peuvent se faire passer pour des individus serviables qui prétendent pouvoir résoudre un problème avec votre ordinateur ou vous offrir un service. 

Mais l'offre n'est qu'un appât pour vous faire divulguer vos informations privées. C'est une arnaque dangereuse car l'attaquant peut utiliser vos données pour usurper votre identité, commettre une fraude ou d'autres activités malveillantes. Soyez prudent et ne donnez pas vos informations personnelles à des étrangers.

Répondez au nouveau quiz de sécurité Tangem et testez votre niveau de protection contre les stratagèmes de social engineering.

Qui les attaques de social engineering ciblent-elles ?

Les attaques de social engineering ciblent les individus, les organisations et les entreprises. Les individus à risque de ces attaques comprennent les cadres supérieurs, les célébrités ou les personnes ayant accès à des informations confidentielles. Les organisations et les entreprises peuvent également être ciblées si elles ont des mesures de sécurité inadéquates.

Les jeunes générations et les nouveaux employés peuvent être plus à risque d'attaques de social engineering car ils sont moins expérimentés et peuvent avoir moins de connaissances en matière de cybersécurité. Les entreprises doivent prendre des précautions supplémentaires lors de la formation de ces employés pour s'assurer qu'ils sont conscients des risques potentiels du social engineering.

Comment identifier la plupart des types d'attaques de social engineering

1. Soyez prudent lorsque vous recevez des messages d'expéditeurs inconnus. Examinez leurs profils de messagerie ou de médias sociaux pour éviter d'être victime d'une arnaque par de faux comptes. Faites toujours des recherches avant de vous engager dans une communication en ligne.
2. Vérifiez toujours l'expéditeur d'un message pour confirmer que c'est bien lui qui l'a envoyé. Contactez-le en personne ou par téléphone pour vérifier son identité. Ceci est particulièrement important si vous pensez que son compte a été piraté ou si quelqu'un prétend être lui sur les réseaux sociaux.
3. Pour vous assurer de la légitimité d'un site Web, vérifiez l'URL, la qualité des images et les logos de l'entreprise. Les fautes de frappe ou les informations obsolètes peuvent être des signaux d'alarme. Si vous pensez qu'un site Web n'est pas légitime, quittez-le immédiatement pour protéger votre sécurité.
4. Méfiez-vous des offres qui semblent trop belles pour être vraies. Elles peuvent être un moyen d'exécuter des attaques de social engineering. Réfléchissez à deux fois avant de donner vos informations personnelles ; même votre adresse e-mail peut être collectée et vendue.
5. Méfiez-vous des liens ou des noms de fichiers suspects dans les e-mails. Examinez le contexte ou le moment étrange de l'e-mail. Ne prenez pas le risque d'ouvrir des pièces jointes ou des liens dont vous n'êtes pas sûr. Prenez des précautions supplémentaires pour assurer la sécurité et l'authenticité.

Conseils pour éviter les attaques de social engineering

Vous pouvez éviter d'être victime d'attaques de social engineering en suivant ces étapes :

• Ne cliquez pas sur les liens dans les e-mails ou les messages provenant de sources inconnues si le contenu semble suspect.
• Utilisez des mots de passe forts pour protéger vos comptes.
• Utilisez l'authentification multifactorielle lorsqu'elle est disponible.
• Gardez vos applications et vos systèmes d'exploitation à jour pour corriger les failles de sécurité.
• Ne partagez pas trop d'informations sur les réseaux sociaux et autres forums publics.
• Ne répondez pas aux quiz Twitter demandant des informations privées comme le nom de votre premier jeu, le nom de jeune fille de votre mère, le nom de votre animal de compagnie, votre lieu de naissance ou d'autres détails personnels.

Les arnaques de social engineering qui ciblent les utilisateurs de crypto

Certains stratagèmes de social engineering ciblent les utilisateurs de crypto, qu'ils soient amateurs ou experts.

• La fraude à la réinitialisation de Coinbase 

En février 2024, l'enquêteur crypto ZachXBT a remarqué une arnaque de social engineering surnommée le stratagème de réinitialisation de Coinbase. Les attaquants ont rassemblé des informations personnelles pour tromper les victimes et les amener à réinitialiser leurs identifiants de connexion Coinbase. Dans un cas, une victime a perdu plus de 1 400 ETH, d'une valeur d'environ 4 millions de dollars. Pour éviter d'être victime d'escroqueries, il est recommandé d'utiliser une clé de sécurité supplémentaire comme la 2FA, d'éviter de réutiliser les mots de passe ou les e-mails, et de se méfier des demandes de connexion suspectes.

Certains membres de la communauté ont émis l'hypothèse que les attaquants disposent peut-être de connaissances internes sur la plateforme d'échange de crypto-monnaies, tandis que d'autres pensent qu'ils se font passer pour des employés de Coinbase. Fait intéressant, un escroc aurait profité d'un autre, ce qui démontre encore la nature vague de ces activités criminelles.

• Arnaques par e-mail 

Les victimes de fraudes liées aux crypto-monnaies reçoivent souvent une lettre du service d'assistance d'une plateforme d'échange de crypto, d'un portefeuille ou d'un projet DeFi. La lettre contient généralement l'une des nombreuses histoires standard, comme prétendre que le compte de la victime a été piraté et doit être restauré de toute urgence. 

L'escroc peut se faire passer pour un « technicien d'assistance » et proposer de générer une nouvelle seed phrase pour le compte de la victime. Cependant, on demande à la victime de fournir l'ancienne seed phrase, ce qui est un piège. Ce type d'arnaque se déroule uniquement par correspondance et n'oblige pas la victime à se rendre sur un site Web ou dans un lieu particulier.

• Arnaque au service pratique 

Il est important de noter que la peur des gens de perdre leurs actifs est un point important que les escrocs peuvent exploiter. Cependant, ce n'est pas le seul point de levier. Les escrocs peuvent profiter du désir des gens de simplifier les tâches. L'un de nos utilisateurs a récemment rencontré un site d'agrégation lors de sa recherche d'une plateforme qui promettait de se connecter à n'importe quel DeX ou plateforme NFT via WalletConnect. 

Bien que le service fût très pratique, il ne semblait pas fonctionner. Après plusieurs tentatives de scan d'un QR code, le service a signalé un problème du côté de l'utilisateur, et pour le résoudre, il a été demandé à l'utilisateur de saisir sa clé privée ou sa seed phrase. Heureusement, dans ce cas, le Portefeuille Tangem a évité à l'utilisateur une erreur potentiellement grave puisqu'il n'y avait pas de seed phrase.

• L'arnaque de l'expert 

Une autre façon de gagner la faveur des gens passe par les réseaux sociaux. Les escrocs peuvent créer de faux comptes et se faire passer pour des experts afin de tromper les individus. Ils peuvent publier du contenu, partager des photos, tenter d'ajouter leurs cibles comme amis et rejoindre des communautés de crypto-monnaies.

L'objectif est de donner l'impression qu'une personne réelle gère le compte. Lorsqu'ils atteignent le nombre requis d'abonnés, l'escroc fait une offre extrêmement « rentable » à ses abonnés. Cela peut impliquer l'installation d'un portefeuille, l'inscription à un projet ou la participation à un airdrop.

La plupart des escrocs ignorent les détails lorsqu'ils élaborent leurs histoires. En fonction de la qualité, ils achètent souvent de « vrais » comptes de médias sociaux pour aussi peu que 5 $ afin de rejoindre des groupes pertinents et de commencer à envoyer des messages aux utilisateurs. Ces comptes sont souvent rudimentaires, avec peu d'informations et peu de publications.

Comment vous protéger, vous et vos fonds

Les psychologues ont expliqué que l'argent est la base de l'existence, et sa perte est même associée à la mort. Toute rationalité est jetée par la fenêtre, laissant place à de purs instincts de survie. Lorsque vous recevez un message vous disant que vos fonds sont en danger, vous devriez faire une pause et réfléchir de manière critique à la situation.

Nous ne disons probablement rien de nouveau ici, mais cela vaut toujours la peine de le répéter : ne donnez jamais à personne votre clé privée ou votre seed phrase. Vous devriez également stocker vos fonds dans un cold wallet qui n'en nécessite pas, comme le Portefeuille Tangem.