Soumission communautaire - Auteur : WhoTookMyCrypto.com

2017 a été une année remarquable pour le secteur des crypto-monnaies, car l’augmentation rapide de leurs valorisations les a propulsés dans les médias grand public. Sans surprise, cela leur a valu un immense intérêt tant de la part du grand public que des cybercriminels. L’anonymat relatif offert par les crypto-monnaies en a fait l’une des préférées des criminels qui les utilisent souvent pour contourner les systèmes bancaires traditionnels et échapper à la surveillance financière des régulateurs.

Étant donné que les gens passent plus de temps sur leurs smartphones que sur leurs ordinateurs de bureau, il n’est donc pas surprenant que les cybercriminels se tournent également vers eux. La discussion suivante met en évidence la manière dont les fraudeurs ciblent les utilisateurs de crypto-monnaie via leurs appareils mobiles, ainsi que quelques mesures que les utilisateurs peuvent prendre pour se protéger.


Fausses applications de crypto-monnaie

Fausses applications d'échange de crypto-monnaie

L’exemple le plus connu de fausse application d’échange de crypto-monnaie est probablement celui de Poloniex. Avant le lancement de son application officielle de trading mobile en juillet 2018, Google Play répertoriait déjà plusieurs fausses applications d'échange Poloniex, intentionnellement conçues pour être fonctionnelles. De nombreux utilisateurs qui ont téléchargé ces applications frauduleuses ont vu leurs identifiants de connexion Poloniex compromis et leurs crypto-monnaies ont été volées. Certaines applications sont même allées plus loin en demandant les informations de connexion des comptes Gmail des utilisateurs. Il est important de souligner que seuls les comptes sans authentification à deux facteurs (2FA) ont été compromis.

Les étapes suivantes peuvent vous aider à vous protéger contre de telles escroqueries.

  • Consultez le site officiel de la bourse pour vérifier si elle propose effectivement une application de trading mobile. Si tel est le cas, utilisez le lien fourni sur leur site Web.

  • Lisez les critiques et les notes. Les applications frauduleuses reçoivent souvent de nombreuses critiques négatives, des personnes se plaignant d'avoir été victimes d'une arnaque, alors assurez-vous de les vérifier avant de les télécharger. Cependant, vous devez également vous méfier des applications qui présentent des notes et des commentaires parfaits. Toute application légitime a son lot de critiques négatives.

  • Vérifiez les informations du développeur de l'application. Recherchez si une entreprise, une adresse e-mail et un site Web légitimes sont fournis. Vous devez également effectuer une recherche en ligne sur les informations fournies pour voir si elles sont réellement liées à l'échange officiel.

  • Vérifiez le nombre de téléchargements. Le nombre de téléchargements doit également être pris en compte. Il est peu probable qu’un échange de crypto-monnaie très populaire ait un petit nombre de téléchargements.

  • Activez 2FA sur vos comptes. Bien qu'elle ne soit pas sécurisée à 100 %, la 2FA est beaucoup plus difficile à contourner et peut faire une énorme différence dans la protection de vos fonds, même si vos identifiants de connexion sont hameçonnés.


Fausses applications de portefeuille de crypto-monnaie

Il existe de nombreux types de fausses applications. Une variante cherche à obtenir des informations personnelles des utilisateurs telles que les mots de passe de leur portefeuille et leurs clés privées.

Dans certains cas, de fausses applications fournissent aux utilisateurs des adresses publiques précédemment générées. Ils supposent donc que les fonds doivent être déposés à ces adresses. Cependant, ils n’ont pas accès aux clés privées et n’ont donc accès aux fonds qui leur sont envoyés.

De tels faux portefeuilles ont été créés pour des crypto-monnaies populaires telles que Ethereum et Neo et, malheureusement, de nombreux utilisateurs ont perdu leurs fonds. Voici quelques mesures préventives qui peuvent être prises pour éviter de devenir une victime :

  • Les précautions mises en évidence dans le segment de l'application d'échange ci-dessus sont également applicables. Cependant, une précaution supplémentaire que vous pouvez prendre lorsque vous utilisez des applications de portefeuille est de vous assurer que de nouvelles adresses sont générées lorsque vous ouvrez l'application pour la première fois et que vous êtes en possession des clés privées (ou des graines mnémoniques). Une application de portefeuille légitime vous permet d'exporter les clés privées, mais il est également important de garantir que la génération de nouvelles paires de clés n'est pas compromise. Vous devez donc utiliser un logiciel réputé (de préférence open source).

  • Même si l'application vous fournit une clé privée (ou graine), vous devez vérifier si les adresses publiques peuvent en être dérivées et accessibles. Par exemple, certains portefeuilles Bitcoin permettent aux utilisateurs d'importer leurs clés privées ou leurs graines pour visualiser les adresses et accéder aux fonds. Pour minimiser les risques de compromission des clés et des graines, vous pouvez effectuer cette opération sur un ordinateur isolé (déconnecté d'Internet).


Applications de cryptojacking

Le cryptojacking est un des favoris des cybercriminels en raison des faibles barrières à l’entrée et des faibles frais généraux requis. De plus, cela leur offre la possibilité de générer des revenus récurrents à long terme. Malgré leur puissance de traitement inférieure à celle des PC, les appareils mobiles deviennent de plus en plus la cible du cryptojacking.

Outre le cryptojacking des navigateurs Web, les cybercriminels développent également des programmes qui semblent être des applications de jeu, utilitaires ou éducatives légitimes. Cependant, bon nombre de ces applications sont conçues pour exécuter secrètement des scripts de crypto-minage en arrière-plan.

Il existe également des applications de cryptojacking qui sont présentées comme des mineurs tiers légitimes, mais les récompenses sont remises au développeur de l'application plutôt qu'aux utilisateurs.

Pour aggraver les choses, les cybercriminels sont devenus de plus en plus sophistiqués, déployant des algorithmes de minage légers pour éviter d'être détectés.

Le cryptojacking est extrêmement nocif pour vos appareils mobiles car il dégrade les performances et accélère l’usure. Pire encore, ils pourraient potentiellement agir comme des chevaux de Troie pour des logiciels malveillants encore plus néfastes. 

Les mesures suivantes peuvent être prises pour s’en prémunir.

  • Téléchargez uniquement des applications depuis les magasins officiels, tels que Google Play. Les applications piratées ne sont pas pré-analysées et sont plus susceptibles de contenir des scripts de cryptojacking.

  • Surveillez votre téléphone pour déceler une décharge excessive ou une surchauffe de la batterie. Une fois détecté, fermez les applications à l’origine de ce problème.

  • Gardez votre appareil et vos applications à jour afin que les failles de sécurité soient corrigées.

  • Utilisez un navigateur Web qui protège contre le cryptojacking ou installez des plug-ins de navigateur réputés, tels que MinerBlock, NoCoin et Adblock.

  • Si possible, installez un logiciel antivirus mobile et tenez-le à jour.


Cadeaux gratuits et fausses applications de crypto-minage

Ce sont des applications qui prétendent exploiter des crypto-monnaies pour leurs utilisateurs mais ne font en réalité rien d’autre que d’afficher des publicités. Ils incitent les utilisateurs à garder les applications ouvertes en reflétant une augmentation des récompenses de l’utilisateur au fil du temps. Certaines applications incitent même les utilisateurs à laisser des notes 5 étoiles afin d'obtenir des récompenses. Bien entendu, aucune de ces applications n’était réellement minière et leurs utilisateurs n’ont jamais reçu de récompense.

Pour vous prémunir contre cette arnaque, sachez que pour la majorité des crypto-monnaies, le minage nécessite du matériel hautement spécialisé (ASIC), ce qui signifie qu'il n'est pas possible de miner sur un appareil mobile. Quels que soient les montants que vous extrayez, ils seront au mieux insignifiants. Éloignez-vous de ces applications.


Applications de tondeuse

Ces applications modifient les adresses de crypto-monnaie que vous copiez et les remplacent par celles de l'attaquant. Ainsi, même si une victime peut copier la bonne adresse du destinataire, celle qu'elle colle pour traiter la transaction est remplacée par celles de l'attaquant.

Pour éviter d'être victime de telles applications, voici quelques précautions que vous pouvez prendre lors du traitement des transactions.

  • Vérifiez toujours deux et trois fois l’adresse que vous collez dans le champ du destinataire. Les transactions blockchain sont irréversibles, vous devez donc toujours être prudent.

  • Il est préférable de vérifier l’intégralité de l’adresse plutôt que seulement des parties de celle-ci. Certaines applications sont suffisamment intelligentes pour coller des adresses qui ressemblent à votre adresse prévue.


échange de carte SIM

Dans une escroquerie par échange de carte SIM, un cybercriminel accède au numéro de téléphone d’un utilisateur. Pour ce faire, ils ont recours à des techniques d'ingénierie sociale pour inciter les opérateurs de téléphonie mobile à leur délivrer une nouvelle carte SIM. L'arnaque d'échange de carte SIM la plus connue impliquait l'entrepreneur en crypto-monnaie Michael Terpin. Il a allégué qu'AT&T avait fait preuve de négligence dans la gestion de ses identifiants de téléphone portable, ce qui lui avait fait perdre des jetons d'une valeur de plus de 20 millions de dollars américains.

Une fois que les cybercriminels ont accès à votre numéro de téléphone, ils peuvent l’utiliser pour contourner tout 2FA qui en dépend. À partir de là, ils peuvent se frayer un chemin vers vos portefeuilles et échanges de crypto-monnaie.

Une autre méthode que les cybercriminels peuvent utiliser consiste à surveiller vos communications SMS. Des failles dans les réseaux de communication peuvent permettre aux criminels d’intercepter vos messages, qui peuvent inclure le code PIN de deuxième facteur qui vous a été envoyé.

Ce qui rend cette attaque particulièrement préoccupante, c'est que les utilisateurs ne sont tenus d'entreprendre aucune action, comme télécharger un faux logiciel ou cliquer sur un lien malveillant.

Pour éviter de devenir la proie de telles escroqueries, voici quelques étapes à considérer.

  • N'utilisez pas votre numéro de téléphone mobile pour les SMS 2FA. Utilisez plutôt des applications comme Google Authenticator ou Authy pour sécuriser vos comptes. Les cybercriminels ne peuvent pas accéder à ces applications même s'ils possèdent votre numéro de téléphone. Vous pouvez également utiliser du matériel 2FA tel que YubiKey ou la clé de sécurité Titan de Google.

  • Ne divulguez pas d’informations d’identification personnelle sur les réseaux sociaux, telles que votre numéro de téléphone portable. Les cybercriminels peuvent récupérer ces informations et les utiliser pour usurper votre identité ailleurs. 

  • Vous ne devez jamais annoncer sur les réseaux sociaux que vous possédez des crypto-monnaies, car cela ferait de vous une cible. Ou si vous êtes dans une position où tout le monde sait déjà que vous les possédez, évitez de divulguer des informations personnelles, y compris les échanges ou les portefeuilles que vous utilisez.

  • Prenez des dispositions avec vos fournisseurs de téléphonie mobile pour protéger votre compte. Cela pourrait signifier attacher un code PIN ou un mot de passe à votre compte et imposer que seuls les utilisateurs connaissant le code PIN puissent apporter des modifications au compte. Vous pouvez également exiger que ces modifications soient effectuées en personne et les interdire par téléphone.


Wifi

Les cybercriminels recherchent constamment des points d'entrée dans les appareils mobiles, en particulier ceux des utilisateurs de crypto-monnaie. L’un de ces points d’entrée est celui de l’accès WiFi. Le WiFi public n'est pas sécurisé et les utilisateurs doivent prendre des précautions avant de s'y connecter. Dans le cas contraire, ils risquent que les cybercriminels accèdent aux données de leurs appareils mobiles. Ces précautions ont été abordées dans l'article sur le WiFi public.


Pensées finales

Les téléphones portables sont devenus un élément essentiel de nos vies. En fait, ils sont tellement liés à votre identité numérique qu’ils peuvent devenir votre plus grande vulnérabilité. Les cybercriminels en sont conscients et continueront à trouver des moyens de l’exploiter. La sécurisation de vos appareils mobiles n'est plus facultative. C'est devenu une nécessité. Soyez prudent.