Même si Web3 les évangélistes vantent depuis longtemps les fonctionnalités de sécurité natives de la blockchain, le torrent d’argent qui coule dans l’industrie en fait une perspective tentante pour les pirates, les escrocs et les voleurs.
Lorsque de mauvais acteurs réussissent à violer la cybersécurité Web3, c’est souvent parce que les utilisateurs ignorent les menaces les plus courantes de la cupidité humaine, du FOMO et de l’ignorance, plutôt qu’en raison de failles dans la technologie.
De nombreuses escroqueries promettent de gros gains, des investissements ou des avantages exclusifs ; la FTC appelle ces opportunités lucratives et investissements escroqueries.
Beaucoup d’argent dans les escroqueries
Selon un rapport de juin 2022 de la Federal Trade Commission, plus d’un milliard de dollars en crypto-monnaie ont été volés depuis 2021. Et les terrains de chasse des pirates sont l’endroit où les gens se rassemblent en ligne.
« Près de la moitié des personnes qui ont déclaré avoir perdu de la crypto à cause d’une arnaque depuis 2021 ont déclaré que cela avait commencé par une publicité, une publication ou un message sur une plateforme de médias sociaux », a déclaré la FTC.
Bien que les apparitions frauduleuses semblent trop belles pour être vraies, les victimes potentielles peuvent suspendre leur incrédulité étant donné l’intense volatilité du marché de la cryptographie ; les gens ne veulent pas manquer la prochaine grande chose.
Les attaquants ciblant les NFT
Avec les crypto-monnaies, NFT, ou jetons non fongibles, sont devenus une cible de plus en plus populaire pour les escrocs ; selon la firme de cybersécurité Web3 Laboratoires TRMdans les deux mois suivant mai 2022, la communauté NFT a perdu environ 22 millions de dollars à cause d’escroqueries et d’attaques de phishing.
Collections « blue chips » telles que Club nautique Bored Ape (BAYC) sont une cible particulièrement prisée. En avril 2022, le compte Instagram BAYC a été piraté par des escrocs qui ont détourné les victimes vers un site qui a vidé leurs portefeuilles Ethereum de crypto et de NFT. Quelque 91 NFT, d’une valeur combinée de plus de 2,8 millions de dollars, ont été volés. Des mois plus tard, un exploit Discord a vu des NFT d’une valeur de 200 ETH volés aux utilisateurs.
Les détenteurs de BAYC de haut niveau ont également été victimes d’escroqueries. Le 17 mai, l’acteur et producteur Seth Green a tweeté qu’il avait été victime d’une escroquerie par hameçonnage entraînant le vol de quatre NFT, dont Bored Ape #8398. En plus de mettre en évidence la menace posée par les attaques de phishing, cela aurait pu faire dérailler une émission de télévision/streaming sur le thème de la NFT planifiée par Green, « White Horse Tavern ». Les NFT BAYC incluent des droits de licence pour utiliser le NFT à des fins commerciales, comme dans le cas du restaurant de restauration rapide Bored & Hungry à Long Beach, en Californie.
Je pensais que je fabriquais des clones de GutterCat – le lien de phishing avait l’air propre
— Seth Green (@SethGreen) 17 mai 2022
Lors d’une session Twitter Spaces le 9 juin, Green a déclaré qu’il avait récupéré le JPEG volé après avoir payé 165 ETH (plus de 295 000 $ à l’époque) à une personne qui avait acheté le NFT après son vol.
« Le phishing est toujours le premier vecteur d’attaque », a déclaré Luis Lubeck, ingénieur en sécurité de la société de cybersécurité Web3, Halborn. Décrypter.
Lubeck dit que les utilisateurs doivent être conscients des faux sites Web qui demandent des informations d’identification de portefeuille, des liens clonés et des faux projets.
Selon Lubeck, une escroquerie par hameçonnage peut commencer par l’ingénierie sociale, informant l’utilisateur d’un lancement précoce de jeton ou qu’il multipliera par 100 son argent, une API faible ou que son compte a été piraté et nécessite un changement de mot de passe. Ces messages sont généralement accompagnés d’un temps d’action limité, ce qui renforce encore la peur de l’utilisateur de passer à côté, également connue sous le nom de FOMO.
Dans le cas de Green, l’attaque de phishing est venue via un lien cloné.
Je pensais que je fabriquais des clones de GutterCat – le lien de phishing avait l’air propre
— Seth Green (@SethGreen) 17 mai 2022
L’hameçonnage par clone est une attaque par laquelle un escroc prend un site Web, un e-mail ou même un simple lien et crée une copie presque parfaite qui semble légitime. Green pensait qu’il fabriquait des clones de « GutterCat » en utilisant ce qui s’est avéré être un site Web de phishing.
Lorsque Green a connecté son portefeuille au site Web de phishing et a signé la transaction pour frapper le NFT, il a donné aux pirates l’accès à ses clés privées et, à leur tour, à ses Bored Apes.
Types de cyberattaques
Les failles de sécurité peuvent affecter à la fois les entreprises et les particuliers. Bien qu’il ne s’agisse pas d’une liste complète, les cyberattaques ciblant Web3 entrent généralement dans les catégories suivantes :
- 🎣 Hameçonnage: L’une des formes de cyberattaques les plus anciennes mais les plus courantes, les attaques de phishing se présentent généralement sous la forme d’e-mails et incluent l’envoi de communications frauduleuses telles que des SMS et des messages sur les réseaux sociaux qui semblent provenir d’une source fiable. Ce cybercrime peut également prendre la forme d’un site Web compromis ou codé de manière malveillante qui peut vider le crypto ou NFT d’un portefeuille basé sur un navigateur attaché une fois qu’un portefeuille crypto est connecté.
- 🏴☠️ Logiciels malveillants: Abréviation de logiciel malveillant, ce terme générique couvre tout programme ou code nuisible aux systèmes. Les logiciels malveillants peuvent pénétrer dans un système par le biais d’e-mails, de SMS et de messages de phishing.
- 👾 Sites Web compromis: Ces sites Web légitimes sont piratés par des criminels et utilisés pour stocker des logiciels malveillants que les utilisateurs sans méfiance téléchargent une fois qu’ils ont cliqué sur un lien, une image ou un fichier.
- 🪤 Usurpation d’URL: Dissocier les sites Web compromis ; Les sites Web usurpés sont des sites malveillants qui sont des clones de sites Web légitimes. Également connus sous le nom de URL Phishing, ces sites peuvent collecter des noms d’utilisateur, des mots de passe, des cartes de crédit, des crypto-monnaies et d’autres informations personnelles.
- 🤖 Fausses extensions de navigateur: Comme leur nom l’indique, ces exploits utilisent de fausses extensions de navigateur pour duper les crypto-utilisateurs afin qu’ils saisissent leurs informations d’identification ou leurs clés dans une extension qui donne au cybercriminel l’accès aux données.
Ces attaques visent généralement à accéder, voler et détruire des informations sensibles ou, dans le cas de Green, un Bored Ape NFT.
Que pouvez-vous faire pour vous protéger?
Lubeck dit que la meilleure façon de se protéger contre le phishing est de ne jamais répondre à un e-mail, un SMS, un télégramme, un Discord ou un message WhatsApp d’une personne, d’une entreprise ou d’un compte inconnu. « J’irai plus loin que cela », a ajouté Lubeck. « N’entrez jamais d’informations d’identification ou d’informations personnelles si l’utilisateur n’a pas démarré la communication. »
Lubeck recommande de ne pas saisir vos informations d’identification ou vos informations personnelles lorsque vous utilisez des réseaux ou des réseaux Wi-Fi publics ou partagés. De plus, Lubeck raconte Décrypter que les gens ne devraient pas avoir un faux sentiment de sécurité parce qu’ils utilisent un système d’exploitation ou un type de téléphone particulier.
« Lorsque nous parlons de ces types d’escroqueries : hameçonnage, usurpation d’identité de page Web, peu importe que vous utilisiez un iPhone, Linux, Mac, iOS, Windows ou Chromebook », dit-il. « Nommez l’appareil ; le problème est le site, pas votre appareil. »
Gardez votre crypto et vos NFT en sécurité
Regardons un plan d’action plus « Web3 ».
Lorsque cela est possible, utilisez du matériel ou des portefeuilles isolés pour stocker des actifs numériques. Ces appareils, parfois décrits comme des « stockages à froid », suppriment votre crypto d’Internet jusqu’à ce que vous soyez prêt à l’utiliser. Bien qu’il soit courant et pratique d’utiliser des portefeuilles basés sur un navigateur comme Métamasquen’oubliez pas que tout ce qui est connecté à Internet peut être piraté.
Si vous utilisez un mobile, un navigateur ou un portefeuille de bureau, également connu sous le nom de hot wallet, téléchargez-les à partir de plateformes officielles telles que le Google Play Store, l’App Store d’Apple ou des sites Web vérifiés. Ne téléchargez jamais à partir de liens envoyés par SMS ou par e-mail. Même si des applications malveillantes peuvent se retrouver dans les magasins officiels, c’est plus sûr que d’utiliser des liens.
Après avoir terminé votre transaction, déconnectez le portefeuille du site Web.
Assurez-vous de garder vos clés privées, phrases de départ et mots de passe privés. Si on vous demande de partager ces informations pour participer à un investissement ou à un monnayage, c’est une arnaque.
N’investissez que dans des projets que vous comprenez. Si le fonctionnement du programme n’est pas clair, arrêtez-vous et faites plus de recherches.
Ignorez les tactiques à haute pression et les délais serrés. Souvent, les escrocs l’utiliseront pour essayer d’invoquer FOMO et empêcher les victimes potentielles de penser ou de faire des recherches sur ce qu’on leur dit.
Enfin, si cela semble trop beau pour être vrai, il s’agit probablement d’une arnaque.