Basé sur les préoccupations de sécurité de la communauté - par : WhoTookMyCrypto.com


2017 a été une année remarquable pour le secteur des crypto-monnaies, car la hausse rapide de son prix a attiré une intense attention médiatique. Sans surprise, cela a suscité un énorme intérêt tant de la part du grand public que des cybercriminels. L’anonymat relatif de la crypto-monnaie en a fait l’une des préférées de ceux qui l’utilisent pour contourner les systèmes bancaires traditionnels et éviter la surveillance financière des régulateurs.

Étant donné que les gens passent la plupart de leur temps à utiliser un smartphone plutôt qu’un PC, il n’est pas surprenant que les cybercriminels y aient concentré leur attention. De plus amples informations montrent comment les fraudeurs ciblent les smartphones des utilisateurs de crypto-monnaie, ainsi que plusieurs mesures que vous pouvez prendre pour vous protéger.


Fausses applications

Échanges de crypto-monnaie

L'exemple le plus connu d'un tel logiciel pour smartphone est l'application mobile permettant d'accéder à votre compte Poloniex. Avant le lancement de la version officielle en juillet 2018, Google Play hébergeait déjà plusieurs fausses applications délibérément conçues pour ne pas se distinguer de l'original. De nombreux utilisateurs qui ont téléchargé et installé ces programmes ont vu leurs identifiants de connexion Exchange compromis et leur crypto-monnaie volée. Certaines applications sont allées plus loin et ont commencé à demander un compte Gmail. Il est important de noter que tous les comptes des victimes ne disposaient pas d’une authentification à deux facteurs (2FA).

Vous pouvez assurer votre sécurité en procédant comme suit :

  • Visitez le site officiel de l'échange pour vous assurer qu'ils disposent réellement d'une application mobile. Si tel est le cas, utilisez le lien fourni sur leur site ;

  • Lisez les avis et les notes. Les fausses applications reçoivent souvent de nombreuses mauvaises critiques de la part des victimes d'escroqueries, alors assurez-vous de vérifier avant de les installer. Cependant, vous devez également vous méfier des applications qui n’ont que des notes et des commentaires positifs. Toute application légitime a son lot de critiques négatives ;

  • Vérifiez les informations sur le développeur de l'application, l'entreprise, l'adresse e-mail et le site Web. Vous devez vérifier toutes les informations fournies et que la demande est véritablement associée à l'échange ;

  • Vérifiez le nombre de téléchargements, cela doit également être pris en compte. Il est peu probable qu’une application mobile d’échange cryptographique populaire ait un petit nombre de téléchargements ;

  • Activez 2FA sur votre compte. Même si cela ne protégera pas votre compte à 100 %, il sera beaucoup plus difficile pour les fraudeurs d'y accéder et peut grandement contribuer à protéger vos fonds, même si vous êtes victime d'une escroquerie par hameçonnage.


Portefeuilles cryptographiques

Il existe de nombreuses fausses applications. L’essence d’un type est d’obtenir des informations personnelles des utilisateurs, telles que les mots de passe du portefeuille et les clés privées.

Dans certains cas, ces applications fournissent des adresses publiques pré-générées et supposent que les utilisateurs peuvent y effectuer des dépôts. Cependant, ils n’ont pas accès aux clés privées et ne sont donc pas propriétaires des fonds qu’ils ont envoyés.

De tels faux portefeuilles ont été créés exclusivement pour les crypto-monnaies les plus populaires telles que Ethereum, Neo et malheureusement de nombreux utilisateurs en ont été victimes. 

Précautions à prendre pour éviter de devenir victime :

  • Les opérations ci-dessus avec les demandes d'accès à l'échange sont également pertinentes. Cependant, lorsque vous travaillez avec des portefeuilles, vous devez absolument garder à l'esprit que lorsque vous démarrez pour la première fois, vous devriez recevoir une nouvelle adresse publique et une nouvelle clé privée (ou des phrases mnémoniques). Une véritable application de portefeuille permet d'exporter des clés privées, mais vous devez également vous assurer que la génération de nouvelles paires de clés n'a pas été compromise. Par conséquent, vous devez utiliser un logiciel ayant une excellente réputation (de préférence open source) ;

  • Même si l’application vous fournit une clé privée (ou des phrases mnémoniques), vous devez vous assurer que vous pouvez l’utiliser pour accéder à votre portefeuille. Par exemple, certains portefeuilles Bitcoin permettent aux utilisateurs d'importer leurs clés privées ou leurs phrases pour visualiser les adresses et accéder aux fonds. Pour minimiser le risque de compromission des clés et des phrases, vous pouvez effectuer cette opération sur un ordinateur isolé (sans accès à Internet).


Cryptojacking

Le cryptojacking est clairement un favori parmi les cybercriminels en raison de sa faible barrière à l’entrée et de ses frais généraux. De plus, cela suppose des revenus récurrents à long terme. Malgré une puissance de traitement inférieure à celle des PC, les appareils mobiles sont de plus en plus victimes de cette attaque.

En plus du cryptojacking à l’aide d’un navigateur Web, les cybercriminels développent également des programmes qui ressemblent à des applications de jeu, utilitaires ou éducatives classiques. Cependant, beaucoup d’entre eux sont conçus pour extraire silencieusement des crypto-monnaies en arrière-plan.

Il existe également des applications qui se présentent comme du minage légitime pour votre appareil, mais en fait, la récompense revient au développeur et non à l'utilisateur. Pour aggraver les choses, les cybercriminels deviennent de plus en plus sophistiqués, développant des algorithmes de minage de plus en plus insignifiants pour éviter d'être détectés.

Le cryptojacking est incroyablement dangereux pour vos appareils mobiles car il dégrade les performances et accélère l’usure du processeur et de la batterie. Pire encore, il peut agir comme un cheval de Troie s'ajoutant à d'autres virus. 

Les mesures suivantes doivent être prises pour vous protéger : 

  • Téléchargez uniquement des applications à partir de sources officielles telles que Google Play. Les programmes piratés ne sont pas pré-vérifiés et contiennent très probablement un script de cryptojacking ;

  • Surveillez les performances de votre téléphone en cas d'épuisement rapide de la batterie ou de surchauffe. Si la cause est identifiée, fermez les applications qui en sont la cause ;

  • Mettez à jour votre appareil et vos applications pour corriger les vulnérabilités des versions précédentes du micrologiciel ;

  • Utilisez un navigateur Web qui vous protégera du cryptojacking ou installez des extensions spéciales telles que : MinerBlock, NoCoin et Adblock ;

  • Si possible, installez un antivirus sur votre smartphone et mettez-le à jour régulièrement.


Cadeaux gratuits et fausses applications minières 

Certains des programmes qui « exploitent la crypto-monnaie » pour leurs utilisateurs ne font en réalité rien d’autre que d’afficher des publicités. Ils incitent à maintenir les applications ouvertes en reflétant l’augmentation des récompenses au fil du temps. Certains programmes obligent les utilisateurs à laisser une note maximale afin de recevoir une récompense. En fin de compte, aucune de ces plateformes ne minait et leurs utilisateurs ne recevront pas leurs récompenses.

Pour vous protéger contre de telles escroqueries, vous devez comprendre que la plupart des crypto-monnaies nécessitent un matériel hautement spécialisé (ASIC), ce qui signifie qu'il n'est pas possible d'exploiter sur un appareil mobile. Quels que soient les montants que vous obtenez, ils ne veulent rien dire. Éloignez-vous de ces applications.


Tondeuse

Ce sont des programmes qui modifient l'adresse que vous copiez et la remplacent par une autre. Ainsi, bien que la victime puisse copier la bonne adresse du destinataire pour traiter la transaction, celle-ci est à son tour remplacée par l'adresse de l'attaquant.

Pour éviter d'être victime de telles applications, voici quelques-unes des précautions à prendre en compte lors de l'envoi de transactions :

  • Vérifiez toujours deux fois, ou mieux encore trois fois, l'adresse que vous collez dans le champ du destinataire. Toutes les transactions sur la blockchain sont irréversibles, vous devez donc toujours être prudent.

  • Il est préférable de vérifier l’intégralité de l’adresse, pas seulement certaines parties. Certaines applications sont si intelligentes qu'elles utilisent des adresses très similaires à votre adresse de destinataire.


Remplacement de la carte SIM

Dans les escroqueries par échange de carte SIM, un attaquant accède au numéro de téléphone d'un utilisateur en utilisant diverses techniques d'ingénierie sociale pour inciter les opérateurs mobiles à obtenir une nouvelle carte SIM. Le cas le plus célèbre d’une telle fraude est celui de l’entrepreneur en cryptomonnaie Michael Turpin. Il a allégué qu'AT&T avait fait preuve de négligence dans la gestion de ses informations d'identification de téléphone portable, ce qui lui avait fait perdre plus de 20 millions de dollars de jetons.

Une fois qu'un cybercriminel a accès à votre numéro, il peut l'utiliser pour contourner tout 2FA qui lui est associé, après quoi il accède à vos portefeuilles et à vos comptes d'échange.

Une autre méthode que les cybercriminels peuvent utiliser consiste à surveiller vos messages SMS. Les failles des réseaux de télécommunications permettent aux attaquants d’intercepter vos communications, qui incluent un deuxième élément d’authentification.

Ce qui est particulièrement préoccupant à propos de cette attaque, c'est que les utilisateurs ne sont tenus de prendre aucune mesure, comme télécharger de faux logiciels ou cliquer sur un lien infecté.

Précautions à prendre pour ne pas être victime de telles arnaques :

  • N'utilisez pas votre numéro de mobile principal pour les SMS 2FA. Utilisez plutôt des applications comme Google Authenticator ou Authy pour protéger votre compte. Dans ce cas, les cybercriminels n’auront pas accès aux informations même s’ils connaissent votre numéro de téléphone. De plus, vous pouvez utiliser le matériel 2FA en utilisant YubiKey ou Google Titan ;

  • Ne partagez pas vos informations d'identification sur les réseaux sociaux, telles que votre numéro de téléphone portable. Ces informations peuvent être utilisées contre vous ;

  • N'annoncez pas sur les réseaux sociaux que vous possédez des cryptomonnaies, car cela fera immédiatement de vous une cible, si vous êtes déjà dans cette position, évitez de divulguer d'autres informations personnelles, ainsi que les échanges et portefeuilles que vous utilisez ;

  • Convenez avec votre opérateur de téléphonie mobile pour protéger votre numéro de mobile. Cela peut impliquer d'avoir un code PIN ou un mot de passe indiquant que seuls ceux qui le connaissent peuvent apporter des modifications à votre compte personnel. En outre, vous pouvez accepter que les modifications aient lieu exclusivement en votre présence personnelle.


Wi-Fi

Les cybercriminels recherchent constamment les faiblesses de vos appareils mobiles, surtout si elles sont liées à la crypto-monnaie. L'un de ces points faibles est l'accès à Internet via le WiFi. Les hotspots Internet publics ne sont pas sécurisés et lorsque vous les utilisez, vous ne devez pas négliger les précautions avant de vous connecter, sinon vous risquez de donner accès aux données de votre appareil. Nous avons abordé toutes les actions liées à la garantie de votre sécurité dans l'article sur le WiFi public.


Conclusion

Les téléphones portables font désormais partie intégrante de nos vies et en fait, ils sont tellement liés à l'identité numérique qu'ils peuvent devenir votre point faible. Les cybercriminels le savent et continueront à chercher des moyens de l’exploiter. Sécuriser vos appareils mobiles n’est plus facultatif car c’est devenu une nécessité, alors restez toujours vigilant et restez en sécurité.