Soumission d'utilisateur de la communauté - Auteur : WhoTookMyCrypto.com
2017 a été une année mémorable pour le secteur des crypto-monnaies, car sa croissance rapide en valeur a conduit à une couverture médiatique grand public. Sans surprise, cela a suscité beaucoup d’intérêt de la part du grand public et des cybercriminels. L’anonymat relatif offert par les crypto-monnaies en fait un outil privilégié par les criminels, qui les utilisent pour contourner la surveillance du système bancaire traditionnel et éviter la surveillance financière des régulateurs.
Les utilisateurs passent désormais plus de temps sur leur smartphone que sur leur ordinateur, et les cybercriminels s’y intéressent de plus en plus. Le contenu suivant mettra en évidence et discutera de la manière dont les fraudeurs ciblent les utilisateurs de crypto-monnaie via leurs appareils mobiles et de ce que les utilisateurs devraient faire pour se protéger davantage.
Fausses applications de crypto-monnaie
Fausses applications d'échange de crypto-monnaie
L’exemple le plus connu de fausse application d’échange de crypto-monnaie est peut-être Poloniex. Avant le lancement de l'application de trading mobile officielle de Poloniex en juillet 2018, plusieurs fausses applications d'échange Poloniex étaient apparues sur Google Play, spécialement conçues pour commettre des escroqueries. De nombreux utilisateurs qui ont téléchargé ces fausses applications ont vu leurs identifiants de connexion Poloniex compromis et leur crypto-monnaie volée. Et ces applications demanderont même aux utilisateurs de fournir leur compte Gmail comme identifiants de connexion. Il est important de souligner que seuls les comptes pour lesquels l’authentification à deux facteurs (2FA) n’est pas configurée seront concernés.
Vous pouvez vous protéger contre ce type d’arnaque en définissant les étapes suivantes.
Consultez le site officiel de la bourse pour confirmer si elle propose effectivement une application de trading mobile. Si c’est vrai, veuillez utiliser le lien sécurisé fourni sur leur site Web.
Lisez les critiques et les évaluations de logiciels. Les fausses applications reçoivent souvent de nombreuses mauvaises critiques et les gens signalent des escroqueries, alors assurez-vous de vérifier avant de télécharger. Cependant, vous devez également vous méfier des applications qui obtiennent des notes et des avis d'utilisateurs satisfaisants. Parce que toute application normale aura des critiques négatives insatisfaisantes.
Vérifiez les informations du développeur de l'application. Vérifiez s’il fournit une entreprise, une adresse e-mail et un site Web légitimes. Vous devez également effectuer une recherche en ligne sur les informations fournies pour voir si elles concernent des échanges officiels.
Vérifiez le nombre de téléchargements. Le nombre de téléchargements doit également être pris en compte ici. Parce qu’il est impossible pour un échange de crypto-monnaie grand public de n’avoir qu’un petit nombre de téléchargements.
Activez les paramètres 2FA sur votre compte. Bien que ce ne soit pas sécurisé à 100 %, la configuration de 2FA vous offrira plus de protection si vos identifiants de connexion sont volés, ce qui fait une énorme différence par rapport aux comptes sans 2FA.
Fausses applications de portefeuille de crypto-monnaie
Il existe de nombreux types de fausses applications de type portefeuille. Un formulaire vise à obtenir des informations personnelles sur les utilisateurs, telles que les mots de passe de leur portefeuille et leurs clés privées.
Dans certains cas, la fausse application fournit à l’utilisateur une adresse de clé publique préalablement générée. Les utilisateurs déposent donc des fonds à ces adresses. Cependant, les utilisateurs n'ont pas accès à la clé privée et ne peuvent donc pas accéder aux fonds qu'ils ont déposés sur l'adresse publique.
De tels faux portefeuilles sont généralement créés pour les crypto-monnaies traditionnelles telles que Ethereum et Neo, et malheureusement, de nombreux utilisateurs ont perdu leurs actifs à cause de cela. Les mesures suivantes peuvent vous aider à éviter de devenir une victime :
Les considérations soulevées ci-dessus pour les demandes d’échange s’appliquent également. Cependant, vous pouvez prendre quelques précautions supplémentaires lorsque vous utilisez des applications de portefeuille, en vous assurant qu'une toute nouvelle adresse est générée lorsque vous ouvrez l'application pour la première fois et que vous avez accès à la clé privée (ou graine mnémonique). Les applications de portefeuille légitimes vous permettront d'exporter vos clés privées, et il est important de vous assurer que la paire de clés nouvellement générée n'est pas compromise. Par conséquent, vous devez utiliser un logiciel réputé (de préférence open source).
Même si une application est capable de vous fournir des clés privées (ou des graines), vous devez vérifier que l'adresse de la clé publique peut en être dérivée et accessible. Par exemple, certains portefeuilles Bitcoin permettent aux utilisateurs d'importer leur clé privée ou leur graine et d'afficher cette adresse et les actifs correspondants. Pour minimiser le risque de fuite de clé et de graine, vous pouvez le faire sur un ordinateur qui n'est pas connecté à Internet (déconnecté d'Internet).
Applications d'attaque de cryptojacking
Les attaques par crypto-vol sont depuis longtemps les préférées des cybercriminels en raison de leurs faibles barrières à l’entrée et de leurs faibles frais généraux. De plus, le cryptojacking leur procure également des revenus cycliques potentiels. Malgré une puissance de traitement inférieure à celle des PC, les appareils mobiles restent une cible privilégiée des attaques de cryptojacking.
Outre les attaques de cryptojacking sur les navigateurs, les cybercriminels ont également développé des approches qui s'apparentent à des jeux, des utilitaires ou des applications éducatives légitimes. Cependant, le but de bon nombre de ces applications est d’exécuter illégalement des scripts de crypto mining en arrière-plan des appareils des utilisateurs.
Il existe également des applications de cryptojacking qui prétendent être des mineurs tiers légitimes, mais les récompenses minières ne sont pas remises aux utilisateurs mais aux développeurs d'applications.
Pire encore, les techniques des cybercriminels sont de plus en plus sophistiquées et ils continuent de déployer des algorithmes de minage de plus en plus légers pour éviter d’être détectés.
Le cryptojacking est très nocif pour votre appareil mobile car il réduit les performances et accélère l’usure de l’appareil. De plus, ils peuvent devenir des chevaux de Troie pour les logiciels malveillants.
Vous pouvez prendre des précautions des manières suivantes.
Téléchargez uniquement des applications depuis des magasins officiels tels que Google Play. Les applications piratées n’ont pas été examinées manuellement et sont plus susceptibles de contenir des scripts de cryptojacking.
Surveillez votre téléphone pour détecter une décharge excessive de la batterie ou une surchauffe. S'il est détecté, il est recommandé de terminer l'application à l'origine du problème.
Mettez à jour vos appareils et applications pour corriger les failles de sécurité.
Utilisez un navigateur Web à l'épreuve du chiffrement ou installez des plug-ins de navigateur réputés tels que MinerBlock, NoCoin et Adblock).
Si possible, installez un logiciel antivirus mobile et tenez-le à jour.
Cadeaux gratuits et faux programmes d'extraction de crypto-monnaie
De telles applications prétendent être des logiciels d’extraction de cryptomonnaies, mais ne sont en réalité là que pour afficher des publicités. Ils trompent les utilisateurs et les récompenses minières augmentent avec la durée. Cela incite les utilisateurs à garder l'application ouverte. Certaines applications encouragent même les utilisateurs à laisser une note de 5 étoiles pour gagner des récompenses. Bien entendu, aucune de ces applications n’effectue de véritable exploitation minière et les utilisateurs de tels logiciels ne reçoivent aucune récompense.
Pour se protéger contre ce type de logiciel, il est important de comprendre que pour la plupart des crypto-monnaies, du matériel hautement spécialisé (ASIC) est requis pour le minage, ce qui signifie que le minage sur des appareils mobiles n'est pas réalisable. Ainsi, même si vous pouvez obtenir des fonds grâce au minage, cela reste insignifiant. Alors, s’il vous plaît, restez à l’écart de ces applications.
Application Clipper
De telles applications modifient votre adresse de crypto-monnaie copiée et la remplacent par la fausse adresse de l'attaquant. Bien que la victime puisse copier l'adresse de paiement correcte, lorsqu'elle la colle, l'adresse de transaction correcte sera falsifiée par l'attaquant.
Pour éviter d'être victime de telles applications, voici quelques précautions que vous pouvez prendre lors du traitement des transactions associées.
Vérifiez deux fois et trois fois l'adresse que vous souhaitez coller dans le champ À. Les transactions blockchain sont irréversibles, vous devez donc être prudent.
Il est préférable de vérifier l’exactitude de l’adresse entière, et non seulement d’une partie. Certaines applications sont suffisamment intelligentes pour coller une adresse similaire à celle que vous souhaitez.
Fraude à l'échange de carte SIM
Les cybercriminels accèdent aux numéros de téléphone des utilisateurs pour commettre des fraudes en échangeant des cartes SIM. Pour ce faire, ils utilisent l’ingénierie sociale en fraudant les opérateurs de téléphonie mobile pour qu’ils émettent de nouvelles cartes SIM. L'arnaque d'échange de carte SIM la plus célèbre implique l'entrepreneur en crypto-monnaie Michael Terpin. Il affirme avoir perdu plus de 20 millions de dollars en crypto-monnaie en raison de la négligence d'AT&T dans la gestion de ses informations d'identification téléphonique.
Si les cybercriminels accèdent à votre numéro de téléphone, ils peuvent ainsi contourner toute authentification 2FA et accéder à vos portefeuilles et échanges de crypto-monnaie.
Une autre méthode utilisée par les cybercriminels consiste à surveiller vos communications par SMS. Les failles des réseaux de communication peuvent être exploitées par des criminels pour intercepter vos messages texte, qui peuvent inclure des messages d'authentification à deuxième facteur qui vous sont envoyés.
Ce type d'attaque est particulièrement préoccupant car l'utilisateur ne peut entreprendre aucune action, comme télécharger de faux logiciels ou cliquer sur un lien malveillant.
Pour éviter d’être victime de ce type d’arnaque, voici quelques défenses à considérer.
N'utilisez pas votre numéro de téléphone mobile pour l'authentification SMS 2FA. Utilisez plutôt Google Authenticator ou une application comme Authy pour sécuriser votre compte. Même si votre numéro de téléphone est volé, les cybercriminels ne peuvent pas accéder à ces applications. Alternativement, vous pouvez utiliser le matériel 2FA pour la protection, comme YubiKey ou la clé de sécurité Titan de Google.
Ne divulguez pas d’informations personnelles identifiables, telles que votre numéro de téléphone portable, sur les réseaux sociaux. Les cybercriminels peuvent obtenir ces informations et les utiliser ailleurs pour usurper votre identité.
Veuillez ne pas annoncer sur les réseaux sociaux que vous possédez une cryptomonnaie, car cela ferait de vous une cible. Alternativement, si votre emplacement a été exposé à d’autres personnes, évitez de divulguer des informations personnelles telles que l’échange ou le portefeuille que vous utilisez.
Travaillez avec votre opérateur de téléphonie mobile pour protéger votre compte. Cela peut signifier que vous devez définir un mot de passe sur le compte ou associer le compte au mot de passe et indiquer clairement que seuls les utilisateurs connaissant le compte peuvent y apporter des modifications. Ou bien, vous seul pouvez contrôler ces modifications et les désactiver depuis votre téléphone.
Wifi
Les cybercriminels continuent également de rechercher des points d’entrée dans les appareils mobiles, en ciblant particulièrement les utilisateurs de cryptomonnaies. Un point d’entrée est l’accès WiFi. Le WiFi public n'est pas sécurisé et les utilisateurs doivent prendre des précautions avant de se connecter. Sans précautions, les cybercriminels accèdent aux données sur l’appareil mobile d’un utilisateur. Ces précautions ont été abordées dans l'article sur le WiFi public.
Réflexions récapitulatives
Les téléphones portables sont devenus un élément indispensable de nos vies. En fait, ils sont tellement liés à votre identité numérique qu’ils peuvent constituer votre plus grande vulnérabilité. Les cybercriminels en sont conscients et continueront à chercher des moyens d’exploiter cette vulnérabilité. La sécurisation des appareils mobiles n'est plus facultative. C'est devenu un incontournable. Par conséquent, veuillez prendre des précautions.
