De nombreux utilisateurs de crypto reconnaissent l'importance de garder leur seed phrase secrète. Pourtant, cette prise de conscience crée une opportunité pour les escrocs d'exploiter autrui par d'autres moyens.
Une tactique typique consiste à attirer des personnes naïves avec la promesse d'une somme importante en échange d'une petite commission. Les escrocs sont implacables dans leur poursuite d'un accès complet aux actifs crypto de quelqu'un. Ils continueront à tenter de tromper les utilisateurs pour qu'ils révèlent leur seed phrase.
Les victimes d'escroqueries ne sont pas seulement des personnes âgées, contrairement à la croyance populaire. Selon des recherches, plus de victimes de fraude se trouvent dans la tranche d'âge de 25 à 45 ans que celles de plus de 50 ans. Les attaquants ciblent souvent le groupe d'âge le plus financièrement anxieux. Maintenant, explorons comment rester en sécurité face aux escrocs et à leurs attaques de phishing.
Comment fonctionne un schéma classique de phishing ?
Pour vous aider à comprendre comment se déroule une escroquerie de phishing typique, nous allons la décomposer en cinq étapes, chacune représentant une étape dans la stratégie de l'attaquant pour tromper et exploiter les gens.
Étape 1 : mise en place
Dans cette étape initiale, les escrocs planifient soigneusement leur campagne de phishing. Ils mettent en place l'infrastructure, y compris de faux sites Web, domaines et adresses e-mail qui imitent étroitement ceux légitimes. L'objectif est de créer un masque convaincant qui trompera les cibles naïves.
Étape 2 : appât
Les phishing utilisent divers moyens pour attirer les victimes potentielles. Ils envoient souvent des e-mails, des messages ou des publications sur les réseaux sociaux trompeurs qui semblent légitimes. Les tactiques courantes incluent des messages urgents, des offres ou des alertes, créant un sentiment d'urgence ou d'excitation pour encourager une action immédiate de la proie.
Par exemple, une victime naïve reçoit un e-mail d'une fausse équipe de portefeuille crypto, d'un projet DeFi ou d'une communauté crypto, les possibilités sont infinies, offrant de leur envoyer une certaine quantité de crypto. Le montant est généralement relativement élevé, et l'e-mail pourrait se lire comme suit :
« Pour célébrer notre lancement / achèvement / introduction en bourse, nous avons décidé d'envoyer 10 000 $ aux personnes qui s'inscrivent avant la fin de la semaine, alors cliquez sur le lien pour commencer. »
Étape 3 : сollecte d'informations
Une fois que la cible mord à l'hameçon, elle se retrouve sur une version clonée du site Web — le site de phishing conçu pour capturer des informations sensibles. Cela implique souvent de tromper les individus pour qu'ils fournissent des identifiants de connexion, des détails personnels ou un accès au portefeuille de crypto-monnaies pour les seed phrases.
Les attaquants utilisent des formulaires ou des pages de connexion convaincantes pour récolter ces données. Si vous pensez pouvoir repérer immédiatement un faux, vous pourriez être déçu : au fil des ans, les escrocs ont appris à créer des sites Web factices assez convaincants.
Étape 4 : уxploitation
Avec les informations acquises, les attaquants vident les portefeuilles des victimes, volent leur identité ou poursuivent la campagne de phishing en ciblant les contacts de la victime. L'exploitation peut être immédiate ou se produire sur une période prolongée, selon les objectifs de l'escroc.
Étape 5 : sortie
Dans la dernière étape, les attaquants peuvent couvrir leurs traces pour éviter la détection, effacer les traces de leur infrastructure de phishing ou disparaître complètement. Parfois, ils persistent dans leurs attaques en ciblant et en exploitant les victimes ou en adaptant leurs tactiques pour de futures campagnes.
Comment les utilisateurs de Tangem sont-ils souvent ciblés ?
Examinons quelques scénarios de phishing courants dans les communautés axées sur la crypto, comme le chat public Tangem Telegram et le serveur Discord.
Faux support client sur Telegram
Idéalement, nos utilisateurs devraient contacter le support directement par e-mail ou via le chatbot officiel Tangem pour résoudre un problème qui ne peut pas être résolu en se rendant sur Tangem Help. Malheureusement, la plupart des utilisateurs se rendent souvent directement sur le chat Telegram de Tangem ou dans d'autres espaces de discussion ouverts pour exprimer leurs problèmes ou recommandations sans tenir compte des dangers impliqués. Les escrocs voient ces messages dans le chat public et procèdent ensuite à contacter l'utilisateur en se faisant passer pour un membre de l'équipe de support Tangem.
Exemple de message de phishing dans Telegram
Ils proposent de résoudre le problème et envoient l'utilisateur vers un site Web de phishing qui ressemble exactement au site officiel Tangem. Le piège est que le bouton Get Tangem est remplacé par Connect Wallet.
Les personnes utilisant Tangem comme un portefeuille seedless pourraient être immunisées contre ce type d'attaque de phishing, mais celles utilisant des seed phrases sont des proies courantes et pourraient devenir victimes.
Voici quelques points à noter :
- Les représentants de Tangem ou les membres de l'équipe de support ne vous contacteront jamais en premier sur aucune plateforme.
- Contactez toujours le support directement au lieu de laisser un message ou un commentaire public.
- Ne suivez pas de liens suspects ou ne connectez pas votre portefeuille à une plateforme DeFi suspecte.
Faux serveur de support technique Discord
Il y a beaucoup d'escrocs cachés dans notre chat Discord, et voici comment ils opèrent. Un nouvel utilisateur rejoint le chat et dit : « Je suis nouveau ici ; j'ai une question sur l'ajout d'un jeton à mon Portefeuille Tangem. »
L'escroc mentionne le nouvel utilisateur avec un message comme celui-ci :
« Bonjour, si vous souhaitez ouvrir une réclamation de support technique, veuillez la remplir ici #techsupport. »
Cependant, le lien #techsupport (lien d'arnaque) mène à un canal Discord privé, pas au Discord officiel de Tangem ! Ils proposent souvent d'aider l'utilisateur à résoudre un problème dans un « BILLET DE SUPPORT OUVERT ».
Encore une fois, nous ne vous demanderons jamais de rejoindre un autre serveur. Si vous voyez de tels messages, ignorez-les et signalez immédiatement l'escroc. Veuillez être conscient que vous ne pouvez ouvrir une réclamation que via le site Web Tangem et les liens officiels.
Canaux officiels Tangem
Tangem communique exclusivement par le biais de canaux officiels tels que notre site Web, les plateformes de médias sociaux, les bots de support client, etc. Les escrocs tentent souvent d'exploiter les utilisateurs en créant des canaux trompeurs qui imitent ceux officiels de Tangem. Pour garantir l'authenticité de la communication, veuillez vérifier que vous êtes sur un compte ou un site Web Tangem légitime.
X (Twitter) https://twitter.com/Tangem
Telegram https://t.me/tangem
Chat officiel Telegram : https://t.me/tangem_chat
En allemand : https://t.me/tangem_chat_de
https://t.me/tangem_france
https://t.me/tangem_chat_fr
Discord https://discord.gg/tangem
Instagram https://instagram.com/tangemwallet
Facebook https://facebook.com/Tangemwallet/
LinkedIn https://www.linkedin.com/company/tangem
YouTube https://www.youtube.com/@tangem_official
Reddit https://www.reddit.com/r/Tangem/
Site Web officiel : https://tangem.com
Responsable communautaire : https://t.me/anajacobsontangem
Ne partagez pas d'informations sensibles ou n'engagez pas de transactions avec des utilisateurs se faisant passer pour l'équipe de support Tangem. En adhérant à ces précautions et en restant vigilant, vous pouvez réduire considérablement le risque de tomber victime d'escroqueries et protéger vos actifs.
Différences entre le site Web authentique et le site Web contrefait de Tangem
Voici les caractéristiques générales que nous avons remarquées entre les sites Web contrefaits et authentiques de Tangem. Vous devez toujours être prudent lors de la vérification de l'authenticité de tout site Web lié à la crypto. Ci-dessous se trouve un tableau mettant en évidence plusieurs différences entre un site Web authentique et un site Web de phishing :
Caractéristique | Site Web Authentique Tangem | Site Web de Phishing |
URL | Correspond précisément au domaine officiel | Peut contenir des fautes d'orthographe ou des variations dans l'URL |
Certificat SSL | Affiche "https://" et un cadenas pour une connexion sécurisée | Peut manquer d'indicateurs de sécurité SSL |
Informations de Contact | Fournit des détails de contact précis et vérifiables | Peut avoir des informations de contact manquantes ou fausses |
Design et Branding | Conforme à la marque et au design officiels | Souvent doté d'un design médiocre, d'incohérences ou d'erreurs |
Demandes d'informations | Ne demande pas d'informations sensibles | Demande des seed phrases |
Grammaire et Orthographe | Généralement exempt d'erreurs de grammaire et d'orthographe | Contient des fautes de grammaire et d'orthographe flagrantes |
Fenêtres Pop-Up | Pop-ups limitées ou pertinentes pour l'assistance utilisateur | Pop-ups ou alertes fréquentes et non pertinentes |
Âge du Domaine | Établi et possède un âge de domaine plus long | Peut avoir un âge de domaine récemment enregistré ou suspect |
Présence sur les Réseaux Sociaux | Comptes vérifiés avec un symbole de vérification sur les réseaux sociaux | Comptes faux ou non vérifiés sur les réseaux sociaux |
Icônes de Sécurité | Affiche des icônes et des logos de sécurité de manière visible | Manque de logos et d'indicateurs de sécurité reconnaissables |
10 conseils concrets pour se protéger contre le phishing et les escroqueries d'ingénierie sociale dans la crypto
Pour vous aider à vous protéger contre les menaces potentielles, voici dix conseils essentiels pour éviter de tomber dans le piège des escrocs et des attaques de phishing.
1. Évitez d'utiliser des seed phrases :
Nous aimons penser que le Portefeuille Tangem est unique car il permet aux utilisateurs de créer un portefeuille sans seed phrase. Les seed phrases sont une responsabilité évidente que les escrocs cherchent souvent à exploiter. En vous proposant de vous aider à résoudre des problèmes de transaction, ils vous demandent généralement de fournir votre seed phrase.
2. Évitez les emails non sollicités :
Ne cliquez pas sur des liens ou ne téléchargez pas de pièces jointes provenant d'emails non sollicités. Les plateformes crypto légitimes ne demanderont pas d'informations sensibles par email. Vérifiez toujours que l'email que vous recevez provient d'un compte email officiel de Tangem. En cas de doute, contactez notre équipe de support dès que possible.
3. Vérifiez les certificats SSL :
Recherchez "https://" dans l'URL du site Web, indiquant une connexion sécurisée. De plus, vérifiez l'icône de cadenas dans la barre d'adresse, confirmant le certificat SSL du site Web.
4. Vérifiez les comptes sur les réseaux sociaux :
Avant d'interagir avec un compte Tangem sur les réseaux sociaux, vérifiez l'authenticité des comptes. Les comptes officiels sont généralement vérifiés avec un symbole de vérification, ou consultez les liens dans cet article.
5. Éduquez-vous :
Si vous lisez cet article, vous faites déjà du bon travail pour rester informé. Nous sommes fiers de vous. Vous pouvez également en apprendre davantage sur les tactiques d'escroquerie courantes et les techniques de phishing ici. La connaissance est un outil puissant pour reconnaître et éviter les menaces potentielles.
6. Repérez les erreurs :
Les fraudeurs ne prennent parfois pas la peine de vérifier l'orthographe, et si vous repérez des fautes de frappe dans l'email, cela pourrait être un signe que vous êtes face à un faux. De plus, les mauvaises couleurs et éléments graphiques pourraient être utilisés dans la conception. Un exemple est les logos obsolètes.
7. Vérifiez les URL des sites Web originaux :
Assurez-vous d'être sur le site Web officiel en vérifiant l'URL pour détecter toute faute d'orthographe ou légère variation. Les escrocs créent de faux sites Web d'une page avec des URL similaires à nos sites Web légitimes. Nous discuterons des différences significatives entre les sites Web contrefaits et le site Web authentique de Tangem.
Les escrocs pourraient changer quelques lettres – par exemple, metemask au lieu de metamask – ou utiliser des chiffres à la place des lettres, comme goggle au lieu de google. Vous devez toujours faire attention à l'URL dans la barre d'adresse du navigateur.
8. Ne vous faites pas remarquer :
C'est peut-être la chose la plus importante à retenir si vous voulez éviter l'attention des escrocs. Ne vous vantez pas ouvertement de vos succès dans la crypto et ne publiez pas vos adresses de portefeuille sur des forums ou des groupes de discussion. De plus, vous ne devriez PAS partager vos difficultés sur des chats publics. Vous pourriez devenir une cible pour les escrocs qui proposent de vous aider à résoudre votre problème.
9. Méfiez-vous des fausses extensions de navigateur :
Certains portefeuilles crypto utilisent des extensions Google Chrome. Les fraudeurs en sont bien conscients et publient de fausses extensions conçues pour collecter des seed phrases et les transmettre aux attaquants. Nous avons déjà publié un cas similaire où un utilisateur de portefeuille Ledger a perdu 16 000 USD après avoir installé une fausse extension Ledger Secure.
Si vous trouvez une extension pour votre portefeuille crypto dans le magasin d'extensions de navigateur, ne l'installez pas immédiatement. D'abord, allez sur le site Web du projet et vérifiez si une extension de navigateur officielle est disponible. Si c'est le cas, suivez le lien sur le site officiel.
10. Méfiez-vous des promesses irréalistes :
Faites preuve de prudence face aux offres ou aux schémas promettant des rendements irréalistes. Si cela semble trop beau pour être vrai, c'est probablement le cas. Les escrocs attirent souvent les victimes avec la promesse de profits rapides et élevés ou d'une solution à un problème impossible — par exemple
- Vous aider à accélérer votre transaction dans la blockchain ;
- Vous aider à restaurer l'accès à un portefeuille non custodial ;
- Offrir de vous aider à récupérer vos fonds volés par des voleurs.
Ne donnez pas vos seed phrases ou mots de passe à quiconque ! Les membres du support légitimes ne demanderont jamais ces informations car elles donnent un accès complet à vos actifs crypto. Si vous voulez passer à un portefeuille seedless, vous devrez transférer temporairement vos fonds vers un autre portefeuille, réinitialiser votre portefeuille Tangem et le configurer sans seed phrase — c'est la méthode recommandée.
Intégrer ces conseils dans vos pratiques en ligne peut réduire considérablement le risque de tomber proie aux escrocs et aux attaques d'ingénierie sociale.
Exemples d'attaques de phishing courantes dans la crypto
Révisons des exemples de manières dont les escrocs trompent les utilisateurs de crypto-monnaies, des faux échanges aux mises à jour malveillantes, en mettant en évidence les méthodes diverses utilisées pour exploiter les individus non avertis dans l'espace crypto.
Email de phishing de portefeuille piraté
Une tactique courante des escrocs consiste à envoyer un email au nom d'un échange de crypto ou d'un portefeuille avec une "notification" indiquant que les données d'un client ont été piratées ou divulguées. Les victimes doivent suivre de toute urgence un lien et "mettre à jour" leur seed phrase pour protéger leurs fonds. Il va sans dire que pour ce faire, l'ancienne seed phrase doit être fournie.
Cher client,
Nous regrettons de vous informer que nous avons subi une violation de sécurité affectant environ 135 000 de nos clients, et que le portefeuille associé à votre adresse e-mail est parmi ceux affectés par la violation. Plus précisément, le mercredi 1er décembre, notre équipe de criminalistique a trouvé plusieurs des serveurs administratifs infectés par des logiciels malveillants. À l'heure actuelle, il est techniquement impossible d'évaluer de manière concluante la gravité et l'étendue de la violation des données. En raison de ces circonstances, nous devons supposer que vos actifs en crypto-monnaie sont à risque d'être volés. Si vous recevez cet e-mail, c'est parce que vous avez été affecté par la violation. Pour protéger vos actifs, veuillez mettre à jour votre phrase de 12 mots et suivre les instructions pour configurer un nouveau PIN pour votre portefeuille.
Cordialement,
Équipe de support Mise à jour
C'est la manière la plus simple de tromper les gens, avec une barrière d'entrée très basse. Les fraudeurs n'ont besoin que d'envoyer un faux email de masse et de créer un modèle de site Web bidon. La plupart des emails finiront dans le dossier spam, mais étant donné la taille de la liste de diffusion, certains atteindront le destinataire.
Sites Web de générateur de portefeuille factices
Une autre méthode de phishing courante consiste à voler la seed phrase avant de la recevoir. Les fraudeurs usurpent les sites Web de portefeuilles crypto populaires, les optimisent pour que le site apparaisse dans les SERP, lancent des publicités et attendent les victimes souhaitant ouvrir un portefeuille pour visiter la page.
Repérer un site Web factice peut être délicat — les contrefaçons sont souvent très similaires à la version originale, et chaque étape est minutieusement copiée, de l'inscription et l'installation à la génération d'une seed phrase. Le seul hic est qu'il n'y a pas de TRNG réel pour générer des seed phrases. En d'autres termes, vous recevez une seed phrase préalablement générée qui appartient à l'attaquant. Tout ce qu'ils ont à faire est de suivre les dépôts de fonds et d'effectuer un retrait.
Ne vous rendez pas directement sur les sites Web de services crypto à partir des moteurs de recherche, de liens sur des forums ou de bannières. Si vous connaissez déjà le site Web, saisissez l'adresse manuellement. Vérifiez l'adresse à l'aide d'autres sources si vous ne l'avez pas rencontrée auparavant. Utilisez le service WHOIS pour savoir depuis combien de temps le domaine est enregistré et pour quelle période – les escrocs essaient généralement d'économiser de l'argent en enregistrant des domaines pour de courtes périodes.
Spear phishing (Phishing ciblé)
C'est le type de phishing le plus dangereux lorsque les attaquants ont une cible spécifique. Il peut combiner toutes les méthodes mentionnées ci-dessus, mais avec une différence clé : les escrocs cherchent leurs victimes avant de commencer.
Il existe de nombreuses options pour mener à bien l'attaque, et tout dépend de la situation, du niveau de persévérance de l'attaquant et, surtout, de l'approche globale de la victime en matière de sécurité en ligne. Si vous avez été assez imprudent pour publier votre adresse de portefeuille quelque part dans le domaine public et qu'il y a suffisamment de fonds (ce qui peut être vérifié à l'aide d'un explorateur de blockchain), alors il y a une incitation à vous cibler personnellement.
Les escrocs pourraient, par exemple, essayer de pirater votre email ou vos messageries, lire votre correspondance, puis envoyer un message personnalisé au nom d'un service que vous utilisez ou d'une personne spécifique en qui vous avez confiance. Le phishing ciblé est souvent déployé comme l'étape initiale d'attaques plus complexes. L'email pourrait contenir n'importe quoi, d'un lien vers un site Web de phishing ou un logiciel malveillant. Dans tous les cas, l'effort mis dans l'escroquerie sera d'un ordre de grandeur supérieur et semblera très crédible.
Attaque par whaling
Une attaque de baleine est une forme spécialisée de spear phishing qui cible des individus éminents au sein d'une organisation, tels que les dirigeants. Son danger accru réside dans son potentiel d'affecter un public plus large qu'une attaque de spear phishing. Par exemple, si un PDG en est victime et suit le lien malveillant, l'escroc pourrait accéder à l'ensemble du réseau de l'entreprise.
Attaque de phishing cloné
Une attaque de phishing cloné se produit lorsqu'un escroc réplique un email légitime précédemment reçu par la cible. L'attaquant substitue la pièce jointe ou le lien original par un malveillant avant de l'envoyer à la victime. Étant donné que l'email est identique à une communication précédemment fiable, la victime suivra souvent le lien par habitude ou familiarité.
Attaque de pharming
Dans une attaque de pharming, une victime est redirigée vers un site Web frauduleux même si elle saisit l'URL correcte. Cela est possible si le serveur DNS est infecté par un code malveillant, qui altère la conversion des URL en adresses IP. Par conséquent, les victimes peuvent atterrir sans le savoir sur un faux site Web qui ressemble étroitement au site authentique, rendant les attaques de pharming particulièrement difficiles à détecter.
Attaque des jumeaux maléfiques
Une attaque de phishing des jumeaux maléfiques cible les réseaux Wi-Fi publics. Les attaquants créent un faux réseau Wi-Fi portant le même nom qu'un réseau légitime. Lorsque les victimes se connectent, on leur demande de saisir leurs identifiants de connexion, que les escrocs exploitent pour accéder sans autorisation à leurs comptes.
Attaque de phishing vocal (Vishing)
Le phishing vocal, ou vishing, implique l'utilisation d'appels vocaux ou de messages vocaux au lieu d'emails. Le vishing emploie souvent des logiciels de synthèse vocale pour laisser des messages vocaux avertissant les victimes potentielles d'une activité frauduleuse dans leurs comptes.
Attaque de phishing par SMS (Smishing)
Le phishing par SMS, ou smishing, utilise des messages texte au lieu d'emails. Les attaquants envoient des messages texte apparemment réels de la part d'entreprises aux victimes, les encourageant à cliquer sur un lien malveillant.
Bots de phishing
Les bots de phishing sont des programmes informatiques automatisés qui mènent des attaques de phishing. Ils peuvent envoyer des emails de phishing en masse, créer de faux sites Web et collecter les identifiants de connexion et les informations sensibles des victimes. Ces bots sont souvent utilisés avec d'autres attaques, telles que le déni de service et le spam.
Ice phishing
Dans une attaque d'ice phishing, les escrocs envoient aux victimes une fausse transaction qui semble provenir d'une source réelle. La transaction exige que la victime la signe avec sa clé privée. Essentiellement, la victime est trompée en signant une transaction qui transfère la propriété de ses jetons à l'escroc.
Conclusion
Les acteurs malveillants affinent leurs compétences et leurs méthodes pour arnaquer les personnes crédules changent constamment. La seule défense fiable est la pensée critique. Personne n'a besoin de votre seed phrase pour transférer des fonds - seule l'adresse du portefeuille est requise. Souvenez-vous toujours que votre seed phrase est la clé de vos actifs crypto.
En fin de compte, vous ne pouvez pas perdre votre seed phrase si vous stockez vos fonds dans un portefeuille crypto qui n'en a pas. Dans le Portefeuille Tangem, la clé privée est stockée dans la puce de la carte et n'est révélée à personne, même au propriétaire. Avec Tangem, il n'y a pas lieu de craindre les tactiques de phishing.