Qu’est-ce que le phishing de portefeuille cryptographique ? Comment reconnaître les faux sites Web

Le passage de la finance mondiale vers des protocoles décentralisés a apporté aux individus des avantages sans précédent en matière d'autonomie en matière d'actifs. Cependant, cela s’accompagne d’une augmentation soudaine des formes sophistiquées de cybercriminalité, dans lesquelles les attaques de phishing ciblant les portefeuilles de cryptomonnaies sont devenues l’une des menaces les plus dangereuses. Selon l'analyse de la situation actuelle réalisée par Tan Phat Digital, le crypto phishing n'est pas seulement de pures attaques techniques, mais se concentre également sur l'exploitation des « vulnérabilités humaines » par l'ingénierie sociale, la manipulation psychologique et l'ignorance du mécanisme de fonctionnement de la blockchain. L'évolution des e-mails de phishing rudimentaires vers des systèmes de « drainage » entièrement automatisés capables d'effacer les actifs des victimes en quelques secondes. Une compréhension approfondie de ces vecteurs d'attaque est essentielle à l'élaboration d'une stratégie de sécurité solide dans l'espace Web3.

Les origines et l'évolution du phishing : des spécificités du Web2 aux spécificités du Web3

Le terme « phishing » a été enregistré pour la première fois en 1987, comme un mot-valise de « pêche » et de « phreaking ». Son principe de fonctionnement simule un appâtage : l'attaquant crée une entité fausse mais apparemment réputée pour inciter la victime à fournir volontairement des informations sensibles. Aux débuts d’Internet, l’objectif principal était de collecter les informations de connexion bancaires traditionnelles. Cependant, l'avènement du Bitcoin et de l'Ethereum a complètement changé la nature des campagnes de phishing.

Dans les environnements financiers traditionnels, une transaction frauduleuse peut souvent être annulée si elle est signalée rapidement. En revanche, la caractéristique fondamentale de la blockchain est l’immuabilité. Une fois la transaction authentifiée, aucune entité ne peut récupérer les fonds perdus. Cela fait des clés privées et des phrases de départ une cible privilégiée. L'évolution du phishing est également portée par la complexité de l'interface Web3, où les autorisations sont souvent confuses, permettant à la technique du "Ice Phishing" de prospérer.

En savoir plus : Qu'est-ce qu'une crypto portefeuille ? Top 9 des portefeuilles Bitcoin que vous devez connaître

Classification des systèmes d'attaque de crypto-phishing contemporains

Le système actuel de méthodes de phishing a été divisé en de nombreuses techniques spécialisées que Tan Phat Digital a compilées ci-dessous pour que les utilisateurs puissent les identifier facilement.

Formes de contrefaçon basées sur l'ingénierie sociale

• Phishing par courrier électronique : Attaquants envoyez des e-mails en masse se faisant passer pour des organisations réputées telles que Binance, MetaMask ou Trust Wallet. Les identifiants sont des demandes urgentes telles que « mise à niveau de sécurité », « vérification KYC » ou « compte verrouillé ».

• Whaling : cible spécifiquement les dirigeants ou ceux qui possèdent de grandes quantités d'actifs. Ils utilisent les informations personnelles collectées pour créer des scénarios de phishing hautement personnalisés, tels que de fausses plaintes juridiques.

• Smishing et Vishing : utiliser des messages SMS ou des appels téléphoniques pour commettre une fraude. Informez souvent des transactions inhabituelles et demandez un code OTP ou une phrase de récupération pour « empêcher ».

• Phishing sur les réseaux sociaux : Utilisation de faux comptes de réseaux sociaux de KOL ou de projets de cryptographie pour promouvoir des programmes cadeaux ou de faux liens de parachutage. Les publications sont souvent accompagnées d'un lien raccourci vers un draineur de site Web.

Types d'attaques techniques spécifiques à la blockchain

• Ice Phishing : Une variante Web3 dans laquelle l'attaquant incite l'utilisateur à signer l'autorisation approve() ou setApprovalForAll() au lieu de voler la clé privée. Une fois signé, l'attaquant peut retirer tous les jetons sans autre interaction.

• Empoisonnement d'adresse : Utiliser une adresse de portefeuille dont le premier et le dernier caractères sont identiques à l'adresse de la victime pour envoyer une petite quantité de jetons. Le but est d'inciter la victime à copier par erreur cette adresse de l'historique des transactions pour les ordres de transfert d'argent ultérieurs.

• Détournement du presse-papiers : Un code malveillant surveille le cache et remplace automatiquement l'adresse du portefeuille lorsque l'utilisateur exécute la commande de copie.

• Evil Twin Phishing : Configurez de faux réseaux WiFi lors de grands événements pour rediriger les utilisateurs vers des sites Web de phishing lorsqu'ils connectez-vous.

En savoir plus : Qu'est-ce que Rug Pull ? Guide pour prévenir les escroqueries aux cryptomonnaies

Analyse technique : fonctionnement des faux sites Web et applications

Les techniques d'usurpation d'identité de sites Web sont l'un des vecteurs d'attaque les plus efficaces. Les attaquants enregistrent souvent des domaines Typosquatting comme metamask-support.io ou utilisent des caractères homographes qui ressemblent exactement à des lettres latines. Tan Phat Digital note que l'icône de verrouillage SSL actuelle n'est plus une garantie de sécurité, car les attaquants peuvent facilement s'inscrire pour obtenir des certificats SSL gratuits pour créer une apparence professionnelle.

La structure d'un Wallet Drainer comprend :

1. Frontend : Le design est similaire à 99 % au site Web d'origine, chaque bouton active la fenêtre de connexion du portefeuille.

2. C2 (Command and Control) Serveur : Collecte les adresses des portefeuilles et analyse les soldes via l'API blockchain.

3. Système de génération automatique de transactions : Retour au frontend sur le type de transaction à afficher (transfert ETH ou approbation du jeton).

4. Technique d'évitement de simulation : Les draineurs avancés sont capables de détecter les environnements simulés pour afficher des résultats "sûrs", mais n'activent réellement le malware que lorsque des transactions réelles sont publiées sur le réseau.

Phishing Airdrop : exploiter la psychologie de la cupidité

Les Airdrops sont un outil marketing mais aussi un appât populaire. Les scénarios de fraude courants incluent :

• Jetons étranges dans le portefeuille : les utilisateurs voient une grande quantité de jetons étranges avec des adresses de sites Web dans la description. Lors de l'accès à « vendre », le site Web nécessite de signer une autorisation d'accès et de vider le portefeuille.

• Fausse publicité : Utilisation d'un compte vert sur 12/24 mots de récupération.

• Prépaiement requis : les cadeaux authentiques sont toujours gratuits ; Demander des « frais de vérification » est une arnaque.

• Promesse de profit irréaliste : recevez des milliers de dollars sans aucune contribution.

• Haute urgence : crée une pression de temps pour que les victimes n'aient pas le temps de réfléchir attentivement.

Analyse de la situation actuelle des crimes de crypto-hameçonnage au Vietnam

Le Vietnam est devenu un pays point chaud pour les fraudeurs Le chiffre d'alarme que Tan Phat Digital a mis à jour :

• Dommages totaux pour la période 2019 - 2024 : plus de 12 000 milliards de VND enregistrés (équivalent à environ 492 millions de dollars).

• Nombre de cas de fraude en ligne : près de 20 000 cas ont été signalés.

• Les dégâts pour la seule année 2024 : ont dépassé 4 200 milliards de VND (environ 172 millions de dollars).

• Nombre de victimes de l'affaire M. Pips : 2 661 personnes ont été identifiées.

• Avoirs bloqués dans l'affaire M. Pips : plus de 5 200 milliards VND.

Des cas typiques tels que le réseau "Mr Pips" ou "Toptrade1" montrent à quel point les criminels combinent le phishing avec un modèle à plusieurs niveaux, construisant un faux écosystème avec des milliers d'employés pour attirer les investisseurs.

Instructions de sécurité des principaux fournisseurs de portefeuilles

Selon un résumé de Tan Phat Digital, les utilisateurs doivent se conformer aux principales règles :

• MetaMask : Il n'existe que deux formes officielles : les extensions de navigateur et les applications mobiles. MetaMask ne demande jamais de phrase de récupération, sauf si vous restaurez activement le portefeuille. L'équipe d'assistance n'envoie jamais de message d'abord via Telegram ou Discord.

• Trust Wallet : Utilisez la fonction Security Scanner pour rechercher les risques avant de négocier. Ne cliquez absolument pas sur les liens de vérification par SMS, car les portefeuilles décentralisés ne sont pas liés aux numéros de téléphone.

Système efficace d'outils et de solutions anti-crypto-phishing

La lutte pour la sécurité nécessite le soutien des technologies modernes :

• Pocket Universe : Simulation de transaction pour montrer exactement quels actifs quitteront le portefeuille avant la signature. Assurance disponible jusqu'à 2 000 USD.

• Revoke.cash : Outil essentiel pour gérer et révoquer les approbations de jetons hérités.

• Wallet Guard : Analyse les URL et détecte les draineurs avec Stormwatcher en temps réel.

• Scam Sniffer : se spécialise dans la détection des signatures frauduleuses et des signes de sites Web de phishing récemment publiés.

• Kerberus : système de protection multicouche avec fonction Social Shield pour identifier les faux comptes.

• Anti-fraude (chongluadao.vn) : projet national fournissant un utilitaire de blocage de sites Web malveillants et des conseils en IA exclusivement pour les vietnamiens utilisateurs.

Étage de stratégie de gestion des risques multiples

Pour atteindre l'état le plus sûr, Tan Phat Digital recommande le processus suivant :

1. Stockage séparé :

   • Cold wallet (Ledger, Trezor) : utilisé pour les actifs volumineux, le stockage à long terme (très faible risque).

   • Hot wallet (MetaMask, Trust Wallet) : utilisé pour les transactions fréquentes, le staking (risque moyen).

   • Burner Wallet : utilisé pour créer des NFT risqués ou recevoir des airdrops étranges (risque élevé).

2. Règle de triple vérification : Vérifiez le nom de domaine exact de CoinMarketCap, regardez la simulation de transaction et comparez chaque caractère de la réception. adresse du portefeuille.

3. Nettoyez la période du portefeuille : Visitez revoke.cash mensuellement pour annuler les droits d'approbation inutilisés.

Étude de cas typique

1. Affaire M. Pips (Vietnam) : TikToker Pho Duc Nam et ses complices se sont approprié frauduleusement plus de 5 200 milliards de VND de 2 661 victimes grâce au modèle boursier et à la fausse monnaie virtuelle, utilisant plus de 1 000 employés pour attirer les investisseurs dans une « matrice » de balances virtuelles.  

2. Cas d'échange Toptrade1 (Hung Yen) : Le réseau dirigé par Nguyen Duy Thoai s'est approprié plus de 2 600 milliards de VND en embauchant un groupe anonyme pour concevoir un faux échange utilisant l'USDT, combiné en se vantant d'un style de vie somptueux pour créer la confiance.  

3. L'affaire « Whale » a perdu 68 millions USD (mai 2024) : Un grand investisseur a perdu 1 155 WBTC en raison d'une attaque « Address Poisoning ». L'attaquant crée une adresse identique à l'adresse du portefeuille secondaire de la victime pour empoisonner l'historique des transactions, incitant ainsi la victime à copier la mauvaise adresse.  

4. Incident du Ledger Connect Kit (décembre 2023) : Une attaque de la chaîne d'approvisionnement ciblant la bibliothèque logicielle de Ledger, permettant aux attaquants d'insérer du code « draineur » malveillant dans une série de grandes dApps, affectant directement les utilisateurs interagissant avec l'interface Web3.  

5. Fuite de données Trezor (janvier 2024) : Le portail d'assistance de Trezor a été compromis, entraînant la divulgation des informations de 66 000 utilisateurs. Peu de temps après, les victimes sont bombardées d'e-mails de phishing leur demandant de saisir des phrases de récupération pour une fausse « récupération dans le cloud ».  

6. Le cas du vol de 14 NFT Bored Ape (décembre 2021) : Un investisseur a été trompé en lui faisant signer une demande de transaction déguisée en « contrat de film », qui était en fait un ordre « d'approbation » qui permettait à l'attaquant de retirer 14 NFT d'une valeur de plusieurs millions de dollars (Ice Phishing).  

7. Attaque Badger DAO (novembre 2021) : : l'attaquant a injecté du code malveillant dans l'interface frontale du protocole, incitant les utilisateurs à signer des autorisations d'approbation malveillantes, entraînant des pertes pouvant atteindre 120 millions USD.  

8. Projet MPX et XFI (Vietnam) : Profitant de la confiance dans les projets « énergétiques du futur », les sujets ont incité 2 000 victimes à investir 2 000 milliards de VND dans des jetons sans valeur réelle, puis ont pris la fuite.  

9. Application Speeding.vip (Hanoi) : Un modèle de Ponzi caché dans l'ombre d'une application d'investissement crypto promettait un bénéfice de 0,5% par jour, attirant des centaines de milliers de comptes avant de s'effondrer et de s'approprier des dizaines de millions de dollars.  

10. Phishing de liquidités Uniswap (8 millions de dollars) : : un fournisseur de liquidités a été trompé via un faux programme Airdrop, ce qui a permis à des pirates informatiques de confier l'accès au portefeuille et à la destruction des actifs en quelques minutes.  

10 questions fréquemment posées sur le phishing de portefeuille cryptographique

1. Qu'est-ce que le phishing de portefeuille cryptographique exactement ? Il s'agit de l'acte consistant à usurper l'identité d'organisations réputées (bourses, portefeuilles électroniques) pour inciter les utilisateurs à fournir volontairement des informations sensibles telles que des phrases de récupération ou à signer des transactions malveillantes sur les actifs appropriés.  

2. Pourquoi la phrase de départ est-elle la plus importante ? Cette phrase est la « clé principale » qui permet d'accéder à l'intégralité du compte dans le portefeuille. Celui qui l’obtient a un contrôle total sur vos actifs pour toujours.  

3. Comment savoir si un site Web MetaMask est faux ou non ? MetaMask officiel n'existe que sous forme d'extension de navigateur et d'application mobile. Tout site qui vous demande de saisir une phrase de récupération pour « synchroniser » ou « mettre à niveau » est une arnaque.  

4. En quoi Ice Phishing est-il différent du phishing traditionnel ? Le phishing traditionnel vole les informations de connexion/les clés secrètes. Ice Phishing vous incite à signer une ordonnance d'approbation qui permet à l'attaquant de retirer des fonds en votre nom sans connaître la clé privée.  

5. J'ai reçu des jetons étranges dans mon portefeuille, dois-je les vendre ? Absolument pas. Il s'agit du leurre "Strange Token". Lorsque vous essayez d'interagir ou d'accéder au site Web de vente ci-joint, il vous sera demandé de vous connecter pour accéder au portefeuille, ce qui entraînera la suppression d'autres actifs de valeur.  

6. Que faire si je clique accidentellement sur un lien suspect ? Transférez immédiatement vos actifs vers un nouveau portefeuille sécurisé. Ensuite, utilisez des outils tels que Revoke.cash pour vérifier et annuler toute approbation de jeton suspecte.  

7. Un cold wallet (Hardware Wallet) est-il vraiment résistant au phishing ? Les cold wallets vous protègent des cyberattaques car les clés privées sont stockées hors ligne. Cependant, si vous êtes amené à signer une transaction malveillante directement sur l'appareil physique, les actifs peuvent toujours être perdus.  

8. Que fait le widget Pocket Universe pour moi ? Il simule la transaction avant que vous la signiez, montrant exactement ce que vous perdrez et gagnerez. Si vous voyez le solde s'effacer dans la simulation, vous pouvez vous arrêter à temps.  

9. Pourquoi l'escroc m'a-t-il envoyé une petite quantité de jetons (Address Poisoning) ? Pour que sa fausse adresse apparaisse dans votre historique de transactions. Ils espèrent que la prochaine fois, vous ferez preuve de négligence et copierez cette adresse au lieu de votre adresse réelle.  

10. Comment signaler un site Web frauduleux au Vietnam ? Vous pouvez signaler directement sur le projet chongluadao.vn ou via les canaux officiels de la police pour avertir la communauté.  

Les attaques de crypto-phishing au Vietnam sont de plus en plus féroces. Tan Phat Digital estime que dans un système financier décentralisé, la liberté s'accompagne toujours d'une responsabilité absolue. Être entièrement équipé d'outils de sécurité, faire preuve d'un scepticisme sain et maintenir vos connaissances à jour sont le seul moyen de protéger vos performances financières à l'ère numérique.