Plusieurs formes de techniques d'ingénierie sociale sont utilisées par les escrocs pour voler des phrases de démarrage et faire perdre aux gens leurs actifs numériques.
-
L'escroquerie à la phrase d'amorçage implique différentes techniques utilisées pour amener les cibles à exposer leur phrase d'amorçage et compromettre le portefeuille contenant leurs actifs numériques.
-
La technique la plus courante est le phishing, dans lequel l'attaquant crée un sentiment d'urgence en demandant à la cible de soumettre une phrase d'amorçage sur un site Web de phishing ou par le biais d'un formulaire.
-
Les phrases d'amorçage sont la clé maîtresse d'un portefeuille de crypto-monnaies, et les exposer fait courir au détenteur le risque de perdre ses fonds qui ne sont pas réversibles.
-
Parmi les mesures à prendre pour se prémunir contre l'escroquerie aux phrases d'amorçage, citons : conserver la phrase d'amorçage dans un endroit sûr, la diviser en plusieurs parties et stocker chaque segment dans des endroits différents, la chiffrer lorsqu'elle est conservée en ligne et s'abstenir de demander de l'aide, sauf dans l'application où elle est nécessaire.
-
Il faut prendre des mesures pour ne pas égarer la phrase d'amorçage dans le cadre de la protection, car cela entraînerait la perte de l'accès au portefeuille et aux fonds qu'il contient.
L'espace cryptographique est une eau agitée avec des vagues qui appellent à la prudence et à l'attention. C'est un domaine où un pouvoir énorme est donné aux individus pour qu'ils prennent en charge leurs finances, y compris la garde des fonds sans dépendre d'une banque ou d'une institution. A qui l'on donne beaucoup, on attend beaucoup ! Le coffre-fort contenant les crypto-monnaies, appelé portefeuille, possède une clé maîtresse qui permet d'y accéder et de les récupérer. Cette clé maîtresse est appelée "seed phrase". Les escroqueries ciblant les phrases d'amorçage sont en augmentation ces derniers temps. La phrase d'amorçage est constituée de 12 à 24 mots générés par un algorithme et fournis lors de la création d'un portefeuille comme mécanisme de sauvegarde. Lors du transfert d'un portefeuille d'un appareil à l'autre ou après la perte de l'appareil, la phrase d'amorçage sera nécessaire pour récupérer le portefeuille, et une seule phrase d'amorçage peut servir à récupérer un portefeuille entier de jetons et de pièces. C'est pourquoi les escrocs ont mis au point différentes techniques visant à inciter les gens à divulguer leur phrase d'amorçage.
Techniques d'escroquerie à la phrase d'amorçage
Un poète classique a dit un jour : "Je connais le mal non pas pour le faire, mais pour ne pas tomber dans le mal". Une façon de se guider contre les escroqueries à la phrase-semence est de comprendre les différentes techniques utilisées par les escrocs pour obtenir des phrases-semence des gens. En mai dernier, le populaire porte-monnaie cryptographique Metamask a tiré la sonnette d'alarme au sujet d'un bot utilisé pour voler des phrases d'amorçage sur Twitter. Le stratagème frauduleux se présentait sous la forme d'une demande provenant d'un compte qui semblait authentique. La déclaration suggérait de remplir un formulaire d'assistance et de demander une phrase de récupération secrète. Il s'agit de l'une des différentes façons dont les escrocs tentent d'obtenir l'accès et de vider les portefeuilles des gens en obtenant leur phrase de démarrage.
Les techniques d'escroquerie couramment utilisées pour voler les phrases de démarrage sont les suivantes :
Source: blog.malwarebytes.com
1. Phishing: Le phishing n'est pas un concept nouveau lorsqu'on parle de sûreté et de sécurité dans le cyberespace. Il est en tête de liste des moyens utilisés par les escrocs pour inciter les gens à donner leurs phrases de démarrage en les faisant entrer sur un site Web douteux. Il s'agit d'inciter les gens à divulguer leur mot de passe ou des informations permettant de les identifier personnellement tout en créant un sentiment d'urgence, en l'occurrence leur phrase de démarrage, pour avoir accès à leur portefeuille. Certaines escroqueries par hameçonnage se présentent sous la forme de publicités popup qui renvoient à un site Web de hameçonnage ou à une extension de navigateur qui imite des portefeuilles populaires comme Exodus et Metamask. Lors d'une attaque de phishing, Domenic Iacovone a perdu 65 000 dollars d'avoirs. Un escroc qui s'est déguisé en agent du service clientèle d'Apple a appelé la cible pour lui dire que son compte Apple avait été compromis et qu'il allait envoyer un code sur son téléphone pour vérifier que la victime était bien le propriétaire du compte. Après avoir obtenu l'accès au téléphone grâce à cette ruse, le pirate est allé plus loin en accédant à la phrase de démarrage via la sauvegarde iCloud et a vidé le portefeuille en quelques secondes.
Une attaque de phishing typique que les escrocs utilisent également est le spear phishing. Dans ce cas, l'attaquant utilise un courriel ou un message personnalisé pour cibler des personnes en prétendant qu'il s'agit d'expéditeurs de confiance tels que des fournisseurs de portefeuilles matériels et en les invitant à mettre à jour leurs phrases de démarrage. Quiconque est victime de cette ruse voit son portefeuille compromis.
2. Baiting: Le Baiting est une autre technique d'escroquerie par laquelle les attaquants volent des phrases de démarrage. Dans le cas de l'appât, l'escroc incite les gens à donner leurs identifiants de connexion en leur promettant des biens ou des articles tels que des largages, des cadeaux ou des objets numériques à collectionner. Certains demandent également à leur cible d'entrer une phrase de démarrage donnée dans leur portefeuille pour les appâter et avoir accès à leur fonds. La distribution de primes est une incitation courante à la création de communautés cryptographiques. Les escrocs se cachent souvent sous le prétexte de distribuer des primes dans le cadre du lancement de leur projet pour appâter les gens et les inciter à donner leurs phrases de semences, compromettant ainsi leurs portefeuilles. De nombreuses personnes considèrent les largages et autres cadeaux comme des occasions d'acquérir des actifs numériques et ne prennent pas toujours soin de vérifier l'authenticité de l'ensemble du projet.
Une arnaque courante consiste, pour certains éléments peu scrupuleux, à révéler leurs phrases d'amorçage en ligne en prétendant que c'est accidentel. Des personnes peu méfiantes seront incitées à saisir les phrases de démarrage dans leurs portefeuilles afin de recevoir les fonds. Cela permet à l'escroc d'accéder au portefeuille, ce qui entraîne le drainage de tous les fonds qui s'y trouvent, aussi bien ceux qui étaient auparavant dans le portefeuille que ceux avec lesquels le détenteur du portefeuille a été appâté.
3. Quid pro quo: Le quid pro quo est très similaire à l'appât. Le quiproquo est basé sur la promesse de rendre un service dont la cible peut avoir besoin en échange d'informations de connexion. L'avantage promis dans le cadre du quid pro quo est souvent un service, comme la mise à niveau d'un système, alors que dans le cas de l'appât, il s'agit principalement d'un bien. Le cas de Dominic Iacovone relève du quid pro quo en tant que sous-ensemble d'une attaque par hameçonnage.
Comment se guider contre l'escroquerie de la phrase de semence
Les portefeuilles sont stockés en ligne, appelés "hot wallet", ou hors ligne dans du matériel physique, appelés "cold wallet". Les portefeuilles chauds sont plus susceptibles d'être piratés. Quel que soit le cas, des mesures préventives doivent être prises pour se prémunir contre l'arnaque à la phrase de semence. Contrairement au système financier traditionnel, les transactions dans l'espace cryptographique sont alimentées par la blockchain et ne sont pas réversibles. Une fois qu'une personne a accès à votre portefeuille et le vide, il n'y a aucun moyen d'annuler la transaction, ce qui rend ces mesures très importantes.
Stockez votre phrase d'amorçage dans un endroit sûr, de préférence en l'écrivant quelque part. Si vous devez la stocker en ligne, stockez une version cryptée de celle-ci.
-
Lorsque vous conservez votre phrase de démarrage, adoptez la méthode du sharding, qui consiste à diviser votre phrase de démarrage en segments et à les stocker à différents endroits.
-
Évitez de saisir une phrase de démarrage étrange dans votre portefeuille, car il peut s'agir d'un appât de la part des escrocs.
-
Évitez de demander de l'aide au hasard sur des applications ou des médias sociaux, et si vous devez demander de l'aide, faites-le uniquement à partir de l'application pour laquelle vous souhaitez obtenir de l'aide.
-
Une phrase d'amorçage n'est requise qu'en de rares occasions ; ne saisissez donc jamais votre phrase d'amorçage sur un formulaire en ligne, quelle qu'en soit la promesse.
-
Si vous utilisez un appareil qui enregistre automatiquement la phrase d'amorçage sur une sauvegarde en nuage, comme Apple, vous pouvez aller dans le paramètre Gérer le stockage et désactiver la fonction de sauvegarde.
-
Vérifiez toujours la légitimité d'un expéditeur et soyez prudent lorsque l'on vous pousse à effectuer une action urgente qui implique que vous donniez votre phrase de démarrage.
-
Activez la vérification à deux facteurs et évitez les réseaux wi-fi ouverts, surtout lorsque vous utilisez votre portefeuille.
-
Les organisations devraient dispenser une formation adéquate à leurs employés afin de les sensibiliser et de les inciter à signaler les fraudes.
-
Lorsque vous utilisez des sites web, vérifiez l'URL pour vous assurer que le certificat du site est fiable et tenez compte des avertissements indiquant que votre connexion à un site n'est pas sûre.
Le coût d'un peu de négligence avec une phrase de départ est énorme, et on ne peut que l'imaginer si votre portefeuille contient des fonds considérables. Pour la sécurité de vos avoirs, vous pouvez tout aussi bien ne garder que quelques fractions de dans votre portefeuille chaud en ligne tandis que vous gardez la proportion la plus importante dans votre portefeuille froid hors ligne. Quoi qu'il en soit, il ne sera jamais de trop de prendre des précautions supplémentaires avec votre phrase de départ.
Auteur : Observateur Gate.io:
M. Olatunji
Avis de non-responsabilité:
* Cet article ne représente que l'opinion des observateurs et ne constitue pas une suggestion d'investissement.
*Gate.io se réserve tous les droits sur cet article. La rediffusion de l'article sera autorisée à condition que Gate.io soit référencé. Dans tous les autres cas, une action en justice sera engagée pour violation des droits d'auteur.