L'annĂ©e 2017 fut une annĂ©e remarquable pour le secteur des crypto-monnaies, lâaugmentation rapide de leurs valorisations les ayant propulsĂ© dans les mĂ©dias grand public. Sans surprise, cela leur a valu un immense intĂ©rĂȘt croissant, tant de la part du grand public que des cybercriminels. Lâanonymat relatif offert par les crypto-monnaies en fait un favori des criminels qui les utilisent souvent pour contourner les systĂšmes bancaires traditionnels et Ă©viter la surveillance financiĂšre de la part les rĂ©gulateurs.
Ătant donnĂ© que les gens passent plus de temps sur leur smartphone que sur leur ordinateur de bureau, il nâest donc pas surprenant que les cybercriminels se soient Ă©galement tournĂ©s vers ces pĂ©riphĂ©riques en question. Lâarticle qui suit dĂ©veloppe comment les arnaqueurs ciblent les utilisateurs de crypto-monnaie via leurs appareils mobiles, ainsi que quelques mesures que les utilisateurs peuvent prendre pour se protĂ©ger.
Les fausses applications crypto-monnaie
Les fausses applications d'Ă©change de crypto-monnaie
L'exemple le plus connu de fausse application d'Ă©change de crypto-monnaie est probablement celui de Poloniex. Avant le lancement de leur application de trading mobile officielle en juillet 2018, Google Play rĂ©pertoriait dĂ©jĂ plusieurs fausses applications d'Ă©change Poloniex, conçues intentionnellement pour ĂȘtre fonctionnelles. De nombreux utilisateurs ayant tĂ©lĂ©chargĂ© ces applications frauduleuses ont vu leurs identifiants de connexion Poloniex compromis et leurs crypto-monnaies dĂ©robĂ©es. Certaines applications sont mĂȘme allĂ©es encore plus loin en demandant les informations de connexion des comptes Gmail des utilisateurs. Il est important de souligner que seuls les comptes sans authentification Ă deux facteurs (2FA) ont Ă©tĂ© compromis.
Les étapes suivantes peuvent vous aider à vous protéger contre de telles escroqueries.
Consultez le site officiel de lâĂ©change pour vĂ©rifier sâil offre effectivement une application de trading mobile. Si oui, utilisez le lien fourni sur leur site web.
Lire les commentaires et les notes. Les applications frauduleuses ont souvent de nombreuses mauvaises critiques avec des personnes se plaignant dâavoir Ă©tĂ© victimes dâarnaques, alors assurez-vous de vĂ©rifier ces avis et commentaires avant de tĂ©lĂ©charger une application. Cependant, vous devez Ă©galement rester sceptique quant aux applications prĂ©sentant des notes et des commentaires parfaits. Toute application lĂ©gitime a sa juste part de critiques nĂ©gatives.
VĂ©rifiez les informations du dĂ©veloppeur de l'application. Recherchez si une entreprise lĂ©gitime, une adresse Ă©lectronique et un site Web sont fournis. Il est Ă©galement conseillĂ© dâeffectuer une recherche en ligne sur les informations fournies pour voir si elles sont vraiment liĂ©es Ă la plateforme dâĂ©change officielle.
VĂ©rifiez le nombre de tĂ©lĂ©chargements. Le nombre de tĂ©lĂ©chargements doit Ă©galement ĂȘtre pris en compte. Il est peu probable qu'une plateforme dâĂ©change de crypto-monnaie trĂšs populaire produise un petit nombre de tĂ©lĂ©chargements.
- Activez le 2FA sur vos comptes. Bien que non sĂ©curisĂ© Ă 100%, le 2FA est beaucoup plus difficile Ă contourner et peut faire une Ă©norme diffĂ©rence dans la protection de vos fonds, mĂȘme si vos identifiants de connexion sont compromis ( voir lâarticle concernant le phishing).
Les fausses applications de portefeuille de crypto-monnaies.
Il existe de nombreux types de fausses applications. Une variante cherche à obtenir des informations personnelles des utilisateurs, telles que leurs mots de passe de portefeuille et leurs clés privées.
Des exemples de ces faux portefeuilles ont été créés pour des crypto-monnaies populaires telles que Ethereum et Neo et, malheureusement, de nombreux utilisateurs ont perdu leurs fonds. Voici quelques mesures préventives à prendre pour éviter de devenir une victime:
Les prĂ©cautions mises en Ă©vidence ci-dessus dans le segment concernant les fausses applications d'Ă©change sont Ă©galement applicables. Cependant, une prĂ©caution supplĂ©mentaire que vous pouvez prendre lorsque vous utilisez des applications de portefeuille consiste Ă vous assurer que de nouvelles adresses sont gĂ©nĂ©rĂ©es lors de la premiĂšre ouverture de l'application et que vous ĂȘtes en possession des clĂ©s privĂ©es (ou des codes mnĂ©moniques). Une application de portefeuille lĂ©gitime vous permet d'exporter les clĂ©s privĂ©es, mais il est Ă©galement important de veiller Ă ce que la gĂ©nĂ©ration de nouvelles paires de clĂ©s ne soit pas compromise. Il est donc conseillĂ© dâutiliser un logiciel rĂ©putĂ© (de prĂ©fĂ©rence open source).
MĂȘme si l'application vous fournit une clĂ© privĂ©e (ou une seed mnĂ©monique), vous devez vĂ©rifier que les adresses publiques peuvent ĂȘtre dĂ©rivĂ©es et sont accessibles Ă partir de celles-ci. Par exemple, certains portefeuilles Bitcoin permettent aux utilisateurs d'importer leurs clĂ©s privĂ©es ou code mnĂ©moniques afin de visualiser les adresses et d'accĂ©der aux fonds. Pour minimiser les risques de compromission de clĂ©s et de seeds, vous pouvez le faire sur un ordinateur isolĂ© (dĂ©connectĂ© dâInternet).
Les applications de Cryptojacking
Outre le crypto-piratage sur navigateur Web, les cybercriminels dĂ©veloppent Ă©galement des programmes qui semblent ĂȘtre des applications lĂ©gitimes, de jeu, dâutilitĂ© publique ou Ă©ducatives. Cependant, bon nombre de ces applications sont conçues pour exĂ©cuter en secret des scripts de minage de crypto-monnaie en arriĂšre-plan.
Il existe également des applications de crypto-piratage annoncées comme des mineurs tiers légitimes, mais les récompenses sont remises au développeur de l'application plutÎt qu'aux utilisateurs.
Pour aggraver les choses, les cybercriminels sont devenus de plus en plus sophistiqués et ont déployé des algorithmes de minage légers pour éviter la détection.
Le cryptojacking est extrĂȘmement nocif pour vos appareils mobiles car il dĂ©grade les performances et accĂ©lĂšre l'usure. Pire encore, ils pourraient potentiellement agir comme des chevaux de Troie pour des malwares plus nĂ©fastes.
Les mesures suivantes peuvent ĂȘtre prises pour sâen protĂ©ger.
Téléchargez uniquement les applications des stores officiels, tels que Google Play. Les applications piratées ne subissent pas de pré-sélection et sont plus susceptibles de contenir des scripts de cryptojacking.
Surveillez votre téléphone pour vous assurer que la batterie ne s'épuise pas ou ne surchauffe pas Une fois détecté, fermez les applications qui en sont la cause.
Gardez votre appareil et vos applications à jour de maniÚre à corriger les vulnérabilités de sécurité.
Utilisez un navigateur Web qui protÚge du cryptojacking ou installez des plug-ins de navigateur réputés, tels que MinerBlock, NoCoin et Adblock).
Si possible, installez un logiciel antivirus pour mobile et maintenez-le Ă jour.
Des cadeaux gratuits et de fausses applications de minage de crypto-monnaies.
Ce sont des applications qui prĂ©tendent miner des crypto-monnaies pour leurs utilisateurs, mais qui ne font en fait rien dâautre que dâafficher des annonces publicitaires. Ils incitent les utilisateurs Ă garder les applications ouvertes en faisant miroiter une augmentation de leurs rĂ©compenses au fil du temps. Certaines applications incitent mĂȘme les utilisateurs Ă laisser 5 Ă©toiles afin d'obtenir des rĂ©compenses. Bien sĂ»r, aucune de ces applications ne minait rĂ©ellement, et leurs utilisateurs n'ont jamais reçu de rĂ©compense.
Pour vous protĂ©ger de cette arnaque, sachez que pour la majoritĂ© des crypto-monnaies, le minage nĂ©cessite un matĂ©riel hautement spĂ©cialisĂ© (ASIC), ce qui signifie quâil est impossible de miner sur un appareil mobile. Quels que soient les montants que vous extrayez, ils seraient au mieux triviaux. Restez Ă l'Ă©cart de ces applications.
Les applications Clipper
Ces applications modifient les adresses de crypto-monnaie que vous copiez et les remplacent par celles de l'attaquant. Ainsi, alors que la victime veut copier la bonne adresse du destinataire, celle quâelle colle pour traiter la transaction est remplacĂ©e par celle de lâattaquant.
Pour Ă©viter d'ĂȘtre victime de ces applications, voici quelques prĂ©cautions Ă prendre lors du traitement des transactions.
- VĂ©rifiez toujours deux mĂȘme trois fois l'adresse que vous collez dans le champ du destinataire. Les transactions sur la blockchain sont irrĂ©versibles, vous devez donc toujours y faire attention.
Il est prĂ©fĂ©rable de vĂ©rifier lâadresse complĂšte au lieu dâune partie seulement. Certaines applications sont suffisamment intelligentes pour coller des adresses qui ressemblent Ă l'adresse souhaitĂ©e.
Permutation de la carte SIM
Une fois que les cybercriminels ont eu accĂšs Ă votre numĂ©ro de tĂ©lĂ©phone, ils peuvent l'utiliser pour contourner tout 2FA qui en dĂ©pend. Ă partir de lĂ , ils peuvent accĂ©der Ă vos portefeuilles et Ă vos plateformes dâĂ©changes de crypto-monnaie.
Une autre mĂ©thode que les cybercriminels peuvent employer consiste Ă surveiller vos communications SMS. Des failles dans les rĂ©seaux de communication peuvent permettre aux criminels d'intercepter vos messages, ce qui peut inclure la broche du deuxiĂšme facteur du 2FA que vous ĂȘtes censĂ©s recevoir en vous identifiant.
Ce qui rend cette attaque particuliĂšrement prĂ©occupante, c'est que les utilisateurs peuvent en ĂȘtre victime sans avoir fautĂ© dâaucune sorte,(Ă la diffĂ©rence des autres types dâarnaques oĂč lâutilisateur est incitĂ© Ă tĂ©lĂ©charger un faux logiciel ou Ă cliquer sur un lien malveillant.)
Pour éviter de devenir la proie de ces escroqueries, voici quelques étapes à considérer.
N'utilisez pas votre numĂ©ro de tĂ©lĂ©phone portable pour le 2FA par SMS. Utilisez plutĂŽt des applications telles que Google Authenticator ou Authy pour sĂ©curiser vos comptes. Les cybercriminels ne peuvent pas accĂ©der Ă ces applications mĂȘme s'ils possĂšdent votre numĂ©ro de tĂ©lĂ©phone. Alternativement, vous pouvez utiliser le matĂ©riel 2FA tel que YubiKey ou la clĂ© de sĂ©curitĂ© Titan de Google.
Ne divulguez pas d'informations d'identification personnelles sur les réseaux sociaux, telles que votre numéro de téléphone mobile. Les cybercriminels peuvent collecter ces informations et les utiliser pour vous faire passer pour un autre.
Vous ne devriez jamais annoncer sur les rĂ©seaux sociaux que vous possĂ©dez des crypto-monnaies, cela ferait de vous une cible. Ou si vous ĂȘtes dans une position oĂč tout le monde sait dĂ©jĂ que vous en ĂȘtes propriĂ©taire, Ă©vitez de divulguer des informations personnelles, notamment les plateformes dâĂ©changes ou les portefeuilles que vous utilisez.
Prenez des dispositions avec vos fournisseurs de téléphonie mobile pour protéger votre compte. Cela peut signifier attacher un code PIN ou un mot de passe à votre compte et indiquer que seuls les utilisateurs connaissant le code PIN peuvent apporter des modifications au compte. Vous pouvez également exiger que ces modifications soient apportées en personne et les refuser par téléphone.
Wifi
Pensées de clÎture
Les téléphones mobiles sont devenus une partie essentielle de nos vies. De fait, ils sont tellement intimement liés à notre identité numérique qu'ils peuvent devenir notre plus grande vulnérabilité. Les cybercriminels sont conscients de cela et continueront de trouver des moyens d'exploiter ce constat. Sécuriser vos appareils mobiles n'est plus une option. C'est devenu une nécessité. Restez en sécurité.