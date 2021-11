Le monde de la crypto est plein de dangers, avec des escrocs à l’affût des débutants et des novices. Un rapport récent de la société de sécurité Check Point Research met en évidence une forme d’attaque puissante : l’utilisation de Google Ads pour diriger les utilisateurs vers de faux portefeuilles cryptographiques. Dans son rapport, le CFCP a déclaré avoir vu environ un demi-million de dollars détournés grâce à ces méthodes au cours des derniers jours seulement.

Voici comment fonctionne l’arnaque. L’attaquant achète Google Ads en réponse aux recherches de portefeuilles cryptographiques populaires (c’est le logiciel utilisé pour stocker la crypto-monnaie, les NFT, etc.). Le CPR dit avoir remarqué des escroqueries ciblant les portefeuilles Phantom et MetaMask, qui sont les portefeuilles les plus populaires pour les écosystèmes Solana et Ethereum.

L’arnaque est une attaque de phishing assez typique

Lorsqu’un utilisateur sans méfiance recherche un « fantôme » sur Google, le résultat de l’annonce Google (qui apparaît au-dessus des résultats de recherche réels) le dirige vers un site Web de phishing qui ressemble à un site Web réel. Ensuite, l’une des deux choses suivantes se produit : soit l’utilisateur entre ses identifiants que l’attaquant conserve. Ou, beaucoup plus étrange, s’ils essaient de créer un nouveau portefeuille, on leur dit d’utiliser un mot de passe de récupération qui les connecte en fait à un portefeuille contrôlé par l’attaquant, pas le leur. « Cela signifie que s’ils transfèrent des fonds, l’attaquant l’obtiendra immédiatement », explique CPR.

Les attaquants utilisent de fausses URL pour faire croire aux utilisateurs qu’ils se connectent à leurs portefeuilles cryptographiques. Image : RCR

Comme pour les autres escroqueries par hameçonnage, les faux sites sont conçus pour ressembler le plus possible aux vrais. Image : RCR

Comme pour les escroqueries par hameçonnage en général, les attaquants s’appuient sur le fait que leurs fausses pages de connexion ressemblent autant que possible à la réalité. Le CPR note qu’ils ont vu des attaquants utiliser de fausses URL pour tromper les utilisateurs, les dirigeant vers phanton.app ou phantonn.app, par exemple, au lieu du bon phantom.app. Le groupe a également vu des escroqueries de phishing similaires utilisées pour diriger les utilisateurs vers de faux échanges de devises cryptographiques, notamment PancakeSwap et UniSwap.

Les chercheurs du CPR disent avoir commencé à remarquer ces escroqueries après avoir vu des utilisateurs de crypto se plaindre de leurs pertes sur Reddit et d’autres forums. Ils estiment qu’au moins un demi-million de dollars ont été volés ces derniers jours.

« Je pense que nous sommes à l’avènement d’une nouvelle tendance en matière de cybercriminalité, où les escrocs utiliseront la recherche Google comme principal vecteur d’attaque pour atteindre les portefeuilles cryptographiques, au lieu de hameçonner traditionnellement par courrier électronique », a déclaré Oded Vanunu du CPR dans un communiqué de presse. « Les sites Web de phishing vers lesquels les victimes étaient dirigées reflétaient une copie et une imitation méticuleuses des messages de marque de portefeuille. Et ce qui est le plus alarmant, c’est que plusieurs groupes d’escrocs enchérissent pour des mots-clés sur Google Ads, ce qui est probablement un signe du succès de ces nouvelles campagnes de phishing qui visent à voler des portefeuilles crypto.

Le groupe propose quelques conseils aux utilisateurs qui espèrent éviter ces pièges, notamment en ne cliquant jamais sur les résultats de Google Ads, mais en regardant plutôt les résultats de recherche et en vérifiant toujours l’URL du site que vous visitez.