Sécurité
Essentiels
Escroqueries courantes sur les appareils mobiles
Accueil
Articles
Escroqueries courantes sur les appareils mobiles

Escroqueries courantes sur les appareils mobiles

Débutant
Publié le May 13, 2019Mis à jour le Aug 23, 2024
8m

Contribution de la Comunnauté - Auteur: WhoTookMyCrypto.com


L'année 2017 fut une année remarquable pour le secteur des cryptomonnaies, l’augmentation rapide de leurs valorisations les ayant propulsé dans les médias grand public. Sans surprise, cela leur a valu un immense intérêt croissant, tant de la part du grand public que des cybercriminels. L’anonymat relatif offert par les cryptomonnaies en fait un favori des criminels qui les utilisent souvent pour contourner les systèmes bancaires traditionnels et éviter la surveillance financière de la part des régulateurs.

Étant donné que les gens passent plus de temps sur leur smartphone que sur leur ordinateur de bureau, il n’est donc pas surprenant que les cybercriminels se soient également tournés vers ces périphériques. L’article qui suit développe comment les escrocs ciblent les utilisateurs de cryptomonnaies via leurs appareils mobiles, ainsi que quelques mesures que les utilisateurs peuvent prendre pour se protéger.


Les fausses applications de cryptomonnaies

Les fausses applications de plateformes d’échange de cryptomonnaies

L'exemple le plus connu de fausse application de plateformes d’échange de cryptomonnaie est probablement celui de Poloniex. Avant le lancement de leur application de trading mobile officielle en juillet 2018, Google Play répertoriait déjà plusieurs fausses applications de plateforme d’échange Poloniex, conçues intentionnellement pour être fonctionnelles. De nombreux utilisateurs ayant téléchargé ces applications frauduleuses ont vu leurs identifiants de connexion Poloniex compromis et leurs cryptomonnaies dérobées. Certaines applications sont même allées encore plus loin en demandant les informations de connexion des comptes Gmail des utilisateurs. Il est important de souligner que seuls les comptes sans authentification à deux facteurs (A2F) ont été compromis.

Les étapes suivantes peuvent vous aider à vous protéger contre de telles escroqueries.

  • Consultez le site officiel de la plateforme d’échange pour vérifier si elle offre effectivement une application de trading mobile. Si oui, utilisez le lien fourni sur leur site Web.

  • Lisez les avis et les évaluations. Les applications frauduleuses ont souvent de nombreuses mauvaises critiques avec des personnes se plaignant d’avoir été victimes d’arnaques, assurez-vous alors de vérifier ces avis et évaluations avant de télécharger une application. Cependant, vous devez également rester sceptique quant aux applications présentant des avis et des évaluations parfaits. Toute application légitime a sa juste part de critiques négatives.

  • Vérifiez les informations du développeur de l'application. Recherchez si une entreprise légitime, une adresse électronique et un site Web sont fournis. Il est également conseillé d’effectuer une recherche en ligne sur les informations fournies pour voir si elles sont vraiment liées à la plateforme d’échange officielle.

  • Vérifiez le nombre de téléchargements. Le nombre de téléchargements doit également être pris en compte. Il est peu probable qu'une plateforme d’échange de cryptomonnaies très populaire produise un petit nombre de téléchargements.

  • Activez l’A2F sur vos comptes. Bien que non sécurisé à 100 %, l’A2F est beaucoup plus difficile à contourner et peut faire une énorme différence dans la protection de vos fonds, même si vos identifiants de connexion sont compromis (consultez l’article concernant le phishing).


Les fausses applications de portefeuille de cryptomonnaies

Il existe de nombreux types de fausses applications. Une variante cherche à obtenir des informations personnelles des utilisateurs, telles que leurs mots de passe de portefeuille et leurs clés privées.

Dans certains cas, de fausses applications fournissent aux utilisateurs des adresses publiques générées au préalable. Ces utilisateurs supposent donc que les fonds sont déposés sur ces adresses, sauf qu’au final, ils n’ont pas accès aux clés privées et n’ont donc pas accès aux fonds déposés.

Des exemples de ces faux portefeuilles ont été créés pour des cryptomonnaies populaires telles qu’Ethereum et Neo et, malheureusement, de nombreux utilisateurs ont perdu leurs fonds. Voici quelques mesures préventives à prendre pour éviter de devenir victime de ces pratiques :

  • Les précautions mises en évidence ci-dessus dans le paragraphe concernant les fausses applications de plateformes d’échange sont également applicables. Cependant, une précaution supplémentaire que vous pouvez prendre lorsque vous utilisez des applications de portefeuille consiste à vous assurer que de nouvelles adresses sont générées lors de la première ouverture de l'application et que vous êtes en possession des clés privées (ou des codes mnémoniques). Une application de portefeuille légitime vous permet d'exporter les clés privées, mais il est également important de veiller à ce que la génération de nouvelles paires de clés ne soit pas compromise. Il est donc conseillé d’utiliser un logiciel réputé (de préférence open source).

  • Même si l'application vous fournit une clé privée (ou une phrase mnémonique), vous devez vérifier que les adresses publiques peuvent être dérivées et sont accessibles à partir de celles-ci. Par exemple, certains portefeuilles Bitcoin permettent aux utilisateurs d'importer leurs clés privées ou codes mnémoniques afin de visualiser les adresses et d'accéder aux fonds. Pour minimiser les risques de compromission des clés et des phrases, vous pouvez le faire sur un ordinateur isolé (déconnecté d’Internet).


Les applications de minage furtif de cryptos (cryptojacking)

Le minage furtif de cryptos (cryptojacking) est l'une des manières favorites de procéder des cybercriminels en raison du peu d’obstacles présents dans sa réalisation et des faibles frais généraux. En outre, il leur offre le potentiel de revenus récurrents à long terme. Malgré leur faible puissance de traitement par rapport aux PC, les appareils mobiles sont de plus en plus la cible du minage furtif de cryptos.

Outre le piratage crypto sur navigateur Web, les cybercriminels développent également des programmes qui semblent être des applications légitimes, de jeu, d’utilité publique ou pédagogiques. Cependant, bon nombre de ces applications sont conçues pour exécuter en secret des scripts de minage de cryptomonnaies en arrière-plan.

Il existe également des applications de piratage crypto annoncées comme des mineurs tiers légitimes, mais les récompenses sont remises au développeur de l'application plutôt qu'aux utilisateurs.

Pour aggraver les choses, les cybercriminels sont devenus de plus en plus sophistiqués et ont déployé des algorithmes de minage légers pour éviter la détection.

Le minage furtif de cryptos (cryptojacking) est extrêmement nocif pour vos appareils mobiles car il dégrade les performances et accélère l'usure. Pire encore, ils pourraient potentiellement agir comme des chevaux de Troie pour des logiciels malveillants (malwares) plus néfastes.

Les mesures suivantes peuvent être prises pour s’en protéger :

  • Téléchargez uniquement les applications des boutiques officielles, telles que Google Play. Les applications piratées ne subissent pas de pré-sélection et sont plus susceptibles de contenir des scripts de minage furtif de cryptos.

  • Surveillez votre téléphone pour vous assurer que la batterie ne s'épuise pas ou ne surchauffe pas. Une fois ces phénomènes détectés, fermez les applications qui en sont la cause.

  • Gardez votre appareil et vos applications à jour de manière à corriger les vulnérabilités de sécurité.

  • Utilisez un navigateur Web qui protège du minage furtif de cryptos ou installez des plug-ins de navigateur réputés, tels que MinerBlock, NoCoin et Adblock).

  • Si possible, installez un logiciel antivirus pour appareil mobile et gardez-le à jour.


Des cadeaux gratuits et de fausses applications de minage de cryptomonnaies

Ce sont des applications qui prétendent miner des cryptomonnaies pour leurs utilisateurs, mais qui ne font en fait rien d’autre que d’afficher des annonces publicitaires. Elles incitent les utilisateurs à garder les applications ouvertes en faisant miroiter une augmentation de leurs récompenses au fil du temps. Certaines applications incitent même les utilisateurs à laisser une évaluation de 5 étoiles afin d'obtenir des récompenses. Bien sûr, aucune de ces applications ne minait réellement, et leurs utilisateurs n'ont jamais reçu de récompense.

Pour vous protéger de cette arnaque, sachez que pour la majorité des cryptomonnaies, le minage nécessite un matériel hautement spécialisé (ASIC), ce qui signifie qu’il est impossible de miner sur un appareil mobile. Quels que soient les montants que vous extrayez, ils seraient au mieux triviaux. Restez à l'écart de telles applications.


Les applications de clippage

Ces applications modifient les adresses de cryptomonnaies que vous copiez et les remplacent par celles de l'attaquant. Ainsi, alors que la victime veut copier la bonne adresse du destinataire, celle qu’elle colle pour traiter la transaction est remplacée par celle de l’attaquant.

Pour éviter d'être victime de ces applications, voici quelques précautions à prendre lors du traitement des transactions :

  • Vérifiez toujours deux même trois fois l'adresse que vous collez dans le champ du destinataire. Les transactions sur la blockchain sont irréversibles, vous devez donc toujours y faire attention.

  • Il est préférable de vérifier l’adresse complète au lieu d’une partie seulement. Certaines applications sont suffisamment intelligentes pour coller des adresses qui ressemblent à l'adresse souhaitée.


Permutation de la carte SIM

Dans une escroquerie d'échange de carte SIM, un cybercriminel obtient l'accès au numéro de téléphone d'un utilisateur. Pour ce faire, ils utilisent des techniques d'ingénierie sociale pour inciter les opérateurs de téléphonie mobile à leur délivrer une nouvelle carte SIM. L'arnaque de permutation de cartes SIM la plus connue impliquait Michael Terpin, entrepreneur en cryptomonnaie. Il a allégué qu'AT&T avait fait preuve de négligence dans l'utilisation de ses identifiants de téléphone portable, ce qui l'avait amener à perdre une quantité de tokens d'une valeur supérieure à 20 millions de dollars.

Une fois que les cybercriminels ont eu accès à votre numéro de téléphone, ils peuvent l'utiliser pour contourner tout A2F qui en dépend. À partir de là, ils peuvent accéder à vos portefeuilles et à vos plateformes d’échanges de cryptomonnaies.

Une autre méthode que les cybercriminels peuvent employer consiste à surveiller vos communications SMS. Des failles dans les réseaux de communication peuvent permettre aux criminels d'intercepter vos messages, ce qui peut inclure le code d’identification du deuxième facteur de l’A2F que vous êtes censés recevoir en vous identifiant.

Ce qui rend cette attaque particulièrement préoccupante, c'est que les utilisateurs peuvent en être victime sans avoir fauté d’aucune sorte, (à la différence des autres types d’arnaques où l’utilisateur est incité à télécharger un faux logiciel ou à cliquer sur un lien malveillant).

Pour éviter de devenir la proie de ces escroqueries, voici quelques étapes à considérer :

  • N'utilisez pas votre numéro de téléphone portable pour l’A2F par SMS. Utilisez plutôt des applications telles que Google Authenticator ou Authy pour sécuriser vos comptes. Les cybercriminels ne peuvent pas accéder à ces applications même s'ils possèdent votre numéro de téléphone. Vous pouvez aussi utiliser un dispositif A2F tel qu’une clé YubiKey ou la clé de sécurité Titan de Google.

  • Ne divulguez pas d'informations d'identification personnelles sur les réseaux sociaux, telles que votre numéro de téléphone portable. Les cybercriminels peuvent reccueillir ces informations et s’en servir pour usurper votre identité ailleurs.

  • Vous ne devriez jamais annoncer sur les réseaux sociaux que vous possédez des cryptomonnaies, cela ferait de vous une cible. Ou si vous êtes dans une position où tout le monde sait déjà que vous en êtes propriétaire, évitez de divulguer des informations personnelles, notamment les plateformes d’échanges ou les portefeuilles que vous utilisez.

  • Prenez des dispositions avec vos fournisseurs de téléphonie mobile pour protéger votre compte. Cela peut signifier associer un code PIN ou un mot de passe à votre compte et indiquer que seuls les utilisateurs connaissant le code PIN peuvent apporter des modifications au compte. Vous pouvez également exiger que ces modifications soient apportées en personne et les refuser par téléphone.


Wi-Fi

Les cybercriminels recherchent en permanence des points d’entrée dans les appareils mobiles, en particulier ceux des utilisateurs de cryptomonnaies. Un exemple probant est celui de l'accès Wi-Fi. Le WiFi public n'est pas sécurisé et les utilisateurs doivent prendre des précautions avant de s'y connecter. Sinon, ils risquent d’accorder un accès aux cybercriminels vers les données stockées sur leurs appareils mobiles. Ces précautions ont été abordées dans l'article sur le Wi-Fi public.


Conclusion

Les téléphones mobiles sont devenus une partie essentielle de nos vies. De fait, ils sont tellement intimement liés à votre identité numérique qu’ils peuvent devenir notre plus grande vulnérabilité. Les cybercriminels sont conscients de cette faiblesse et continueront de trouver des moyens de l’exploiter. Sécuriser vos appareils mobiles n’est plus une option. C’est devenu une nécessité. Restez en sécurité.

Partager des publications
Les fausses applications de cryptomonnaies
Articles connexes
La psychologie des cycles de marché
Comment calculer le retour sur investissement (ROI)
Que sont les ventes à découvert sur les marchés financiers ?
S’inscrire pour un compte.
Mettez vos connaissances en pratique en ouvrant un compte Binance dès aujourd’hui.