Escroqueries courantes sur les appareils mobiles

Contenu contribué par la communauté - Auteur : WhoTookMyCrypto.com

2017 a été une année remarquable pour le secteur des crypto-monnaies en raison de l’augmentation vertigineuse des valorisations, qui a entraîné une large exposition dans les médias grand public. Comme il ne pouvait en être autrement, cette circonstance leur a valu un énorme intérêt tant de la part du grand public que des cybercriminels. Le relatif anonymat offert par les crypto-monnaies en a fait un instrument convoité par ces acteurs malveillants, qui les utilisent souvent pour contourner les systèmes bancaires traditionnels et échapper à la surveillance des régulateurs.

Étant donné que les gens ont tendance à passer plus de temps à utiliser des smartphones que des ordinateurs de bureau, il n’est pas surprenant que les cybercriminels se soient tournés vers les premiers. Par conséquent, l’article suivant se concentre sur les mécanismes utilisés par les fraudeurs pour accéder aux utilisateurs de cryptomonnaie via leurs appareils mobiles, ainsi que sur certaines mesures que ces derniers peuvent prendre pour se protéger.

Fausses applications de crypto-monnaie

Fausses applications d'échange de crypto-monnaie

L’exemple le plus connu de fausse application d’échange de crypto-monnaie est probablement Poloniex. Avant le lancement de l'application mobile officielle en juillet 2018, plusieurs fausses applications d'échange Poloniex étaient déjà disponibles sur Google Play, intentionnellement conçues pour être fonctionnelles. De nombreux utilisateurs ayant téléchargé ces applications frauduleuses ont vu leurs identifiants d'accès Poloniex compromis et leurs crypto-monnaies volées. Certaines applications sont allées plus loin, demandant même aux utilisateurs les informations d'identification d'accès à leurs comptes Gmail. Il faut noter que seuls les comptes dépourvus d’authentification à deux facteurs (2FA) seraient finalement compromis.

Les étapes suivantes peuvent vous aider à vous protéger contre ces types d’escroqueries :

• Consultez le site officiel de la bourse pour vérifier qu'elle propose réellement une application de trading mobile. Si tel est le cas, utilisez le lien fourni par le même site Web.

• Lisez les critiques et les notes. Les applications frauduleuses reçoivent souvent de nombreux avis négatifs de la part de personnes se plaignant d'avoir été victimes d'une arnaque, alors assurez-vous d'effectuer des vérifications avant de télécharger. De même, vous devez également vous méfier des applications qui contiennent des commentaires et des notes excessivement positifs. Chaque application légitime est toujours accompagnée de sa juste part de critiques négatives.

• Passez en revue les informations relatives au développeur de l'application. Vérifiez si des références à une entreprise, un site Web ou un e-mail légitime sont fournies. Ensuite, vous devez effectuer une recherche en ligne des informations fournies pour vérifier qu'elles sont bien liées à la maison de change officielle.

• Vérifiez le nombre de téléchargements. Ce détail doit également être pris en compte car il est peu probable qu'une maison d'échange très populaire ait un faible nombre de téléchargements.

• Activez l'authentification 2FA sur vos comptes. Bien qu’elle ne soit pas sécurisée à 100 %, l’authentification 2FA est beaucoup plus difficile à contourner et peut faire une grande différence dans la protection de vos fonds, même si vos identifiants de connexion ont été compromis par le phishing.

Fausses applications de portefeuille de crypto-monnaie

Il existe de nombreux types de fausses applications. Parmi eux, ceux qui cherchent à obtenir des données personnelles des utilisateurs, telles que des mots de passe et des clés privées de leur portefeuille.

Dans certains cas, il s’agit de fausses applications qui fournissent aux utilisateurs des adresses publiques précédemment générées. Les utilisateurs supposeront qu'ils peuvent déposer des fonds en toute sécurité à ces adresses. Cependant, comme ils ne disposent pas des clés privées, ils ne pourront pas accéder aux fonds qu'ils y déposent.

De faux portefeuilles de ce type ont été créés pour les crypto-monnaies populaires telles que Ethereum ou Neo et, malheureusement, de nombreux utilisateurs ont perdu leurs fonds. Voici quelques-unes des précautions que vous pouvez prendre pour éviter d’être victime de telles escroqueries :

• Les précautions soulignées dans la section précédente – dédiée aux fausses applications d’échange – sont également valables dans ce cas. Cependant, une mesure supplémentaire qui peut être prise lorsqu'il s'agit d'applications de portefeuille est de garantir que des adresses complètement nouvelles sont générées lors de la première ouverture desdites applications et que l'on dispose de leurs clés privées ou graines mnémoniques correspondantes. Les applications de portefeuille légitimes vous permettront d'exporter vos clés privées ; mais il est également important de s’assurer que la génération de nouvelles paires de clés ne soit pas compromise. Par conséquent, vous devez utiliser un logiciel réputé (de préférence open source).

• Même si l'application vous fournit une clé privée (ou une graine), vous devez vérifier si des adresses publiques peuvent en être dérivées et accessibles. Par exemple, certains portefeuilles Bitcoin permettent aux utilisateurs d'importer leurs clés privées ou leurs graines pour afficher les adresses et accéder aux fonds. Pour minimiser les risques de compromission des clés et des seed, l'idéal est d'effectuer cette opération sur un ordinateur « air-gapded » (c'est-à-dire déconnecté d'Internet).

Applications de cryptojacking

Le cryptojacking est devenu l’une des pratiques préférées des cybercriminels en raison de sa facilité d’accès et de son faible coût, ainsi que de la possibilité d’offrir des revenus récurrents à long terme. Malgré leur puissance de traitement inférieure à celle des PC, les appareils mobiles deviennent une cible de plus en plus courante pour le cryptojacking.

Outre le cryptojacking des navigateurs Web, les cybercriminels développent également des programmes qui semblent être des applications et des jeux fonctionnels et éducatifs tout à fait légitimes. Cependant, bon nombre de ces applications ont été conçues pour exécuter secrètement des scripts en arrière-plan.

Il existe également des applications de cryptojacking qui sont présentées comme des applications minières tierces légitimes, mais dont les récompenses finissent par être remises aux développeurs plutôt qu'à leurs utilisateurs.

Pour aggraver les choses, les criminels sont devenus de plus en plus sophistiqués, ce qui les a amenés à installer des algorithmes de minage légers qui rendent leur détection extrêmement difficile.

Le cryptojacking est incroyablement nocif pour les appareils mobiles car il dégrade leurs performances et accélère leur usure. Pire encore, il peut également agir comme un cheval de Troie pour d’autres types de logiciels malveillants encore plus pernicieux.

Les étapes suivantes peuvent être utiles pour vous protéger du cryptojacking :

• Téléchargez uniquement des applications à partir de plateformes officielles telles que Google Play. Les applications piratées n’ont pas été examinées au préalable et sont plus susceptibles de contenir des scripts de cryptojacking.

• Surveillez votre téléphone pour identifier une décharge excessive ou une surchauffe de la batterie. Une fois détectés, annulez les applications qui provoquent ces effets.

• Gardez votre appareil et vos applications à jour afin que les failles de sécurité potentielles soient corrigées.

• Utilisez un navigateur Web qui protège contre le cryptojacking ou installez des plug-ins réputés tels que MinerBlock, NoCoin et Adblock.

• Si possible, installez un logiciel antivirus mobile et tenez-le à jour.

Cadeaux gratuits et fausses applications de crypto mining

Ce sont des applications qui simulent le minage de crypto-monnaies, mais en réalité elles ne font rien d’autre que l’affichage de publicité. Ils incitent les utilisateurs à garder les applications ouvertes en reflétant une augmentation des récompenses au fil du temps. Certaines de ces applications encouragent même les utilisateurs à laisser des avis 5 étoiles comme condition pour obtenir les récompenses susmentionnées. Bien entendu, aucune de ces applications n’exploite efficacement et leurs utilisateurs ne recevront jamais de véritable récompense.

Pour se prémunir contre cette arnaque, il faut comprendre que le minage de la plupart des cryptomonnaies nécessite du matériel hautement spécialisé (les fameux ASIC), ce qui signifie qu'il n'est pas réalisable d'effectuer l'opération depuis un appareil mobile. Et de toute façon, toute quantité qui pourrait être extraite de cette manière serait insignifiante. Pour cette raison, nous vous recommandons de rester à l’écart de toute application similaire.

Applications portapapeles (applications clipper)

Ce type d’application modifie les adresses des cryptomonnaies que l’on copie et les remplace par celles de l’attaquant. De cette façon, même si la victime peut copier une adresse de réception correcte, celle qu'elle colle pour traiter la transaction sera remplacée par celle de l'attaquant.

Ci-dessous, nous vous présentons une série de mesures que vous pouvez prendre lors du traitement de vos transactions, pour éviter d'être victime de ce type d'applications :

• Vérifiez toujours deux fois, voire trois fois, l'adresse que vous collez dans le champ d'expédition. Les transactions blockchain sont irréversibles, vous devez donc agir avec prudence à tout moment.

• Il est préférable de vérifier l’intégralité de l’adresse que vous fournissez plutôt que seulement certaines parties de celle-ci. Certaines applications sont suffisamment sophistiquées pour coller des adresses qui ressemblent à celles légitimes.

échange de carte SIM

Dans le cadre d'une escroquerie par échange de carte SIM, le cybercriminel accède au numéro de téléphone de l'utilisateur. Ils y parviennent en utilisant des techniques d’ingénierie sociale qui leur permettent de tromper les opérateurs mobiles et de leur faire donner une copie de la carte SIM. L'arnaque d'échange de cartes SIM la plus célèbre est celle qui a touché l'entrepreneur en crypto-monnaie Michael Terpin - qui a allégué qu'AT&T avait par négligence remis ses identifiants de téléphone portable à des tiers, lui faisant perdre des jetons d'une valeur de plus de 20 millions de dollars américains.

Une fois que les criminels ont accès à votre numéro de téléphone mobile, ils peuvent l'utiliser pour contourner toute authentification 2FA qui en dépend. À partir de là, ils se retrouveront dans vos portefeuilles de crypto-monnaie et vos comptes d’échange.

Une autre méthode que les cybercriminels peuvent utiliser consiste à surveiller vos communications par SMS. Les défaillances des réseaux de communication peuvent permettre aux criminels d'intercepter vos messages, parmi lesquels le code PIN 2FA.

Ce qui rend ces types d'attaques particulièrement inquiétants, c'est qu'elles ne nécessitent pas un rôle actif de la part des victimes, comme c'est le cas pour le téléchargement de faux logiciels ou l'ouverture de liens malveillants.

Pour éviter de tomber dans le piège de ce type d’arnaque, les mesures suivantes peuvent être envisagées :

• N'utilisez pas votre numéro de téléphone mobile pour les authentifications 2FA de type SMS. Utilisez plutôt des applications comme Google Authenticator ou Authy pour protéger vos comptes. Les cybercriminels ne pourront pas accéder à ce type d’applications, même s’ils s’emparent de votre numéro de téléphone. Vous pouvez également utiliser des authentifications matérielles 2FA, telles que YubiKey ou Titan Security Keys de Google.

• Ne divulguez jamais d’informations personnelles – comme votre numéro de téléphone – sur les réseaux sociaux. Les cybercriminels peuvent profiter de ces informations et les utiliser pour usurper votre identité sur d'autres sites.

• Vous ne devez jamais annoncer sur les réseaux sociaux que vous possédez des crypto-monnaies, car cela pourrait faire de vous une cible. Si vous êtes dans une position où tout le monde sait que vous les possédez, évitez de révéler des informations personnelles, telles que les échanges ou les portefeuilles que vous utilisez.

• Prévoyez de protéger votre compte auprès de vos fournisseurs de téléphonie mobile. Cela peut inclure la nécessité d'un code PIN ou d'un mot de passe pour toute modification que vous souhaitez y apporter. Alternativement, vous pouvez également demander que ces modifications ne puissent être effectuées qu'en personne, ce qui rend impossible leur exécution par téléphone.

Wifi

Les cybercriminels recherchent constamment des moyens d’accéder aux appareils mobiles, en particulier ceux qui utilisent des crypto-monnaies. L’un de ces points d’entrée potentiels est le WiFi. Les réseaux WiFi publics ne sont pas sécurisés et les utilisateurs doivent toujours prendre des précautions avant de s'y connecter. Sinon, ils risquent que les cybercriminels accèdent aux données stockées sur leurs appareils mobiles. Ces précautions ont été abordées dans l'article dédié aux réseaux WiFi publics.

Dernières pensées

Les téléphones portables sont devenus un élément fondamental de nos vies. En fait, ils sont tellement liés à notre identité numérique qu’ils peuvent devenir notre principale vulnérabilité. Les cybercriminels le savent et c’est pourquoi ils continuent de rechercher des mécanismes pour les exploiter. Protéger vos appareils mobiles n'est plus une option, mais est devenu une nécessité. Agissez toujours avec prudence.