Escroqueries Courantes sur les Appareils Mobiles

Partager
Copied to clipboard!
Escroqueries Courantes sur les Appareils Mobiles
Ecoutez cet article
00:00 / 00:00

Contribution de la Comunnauté - Auteur: WhoTookMyCrypto.com


L'année 2017 fut une année remarquable pour le secteur des crypto-monnaies, l’augmentation rapide de leurs valorisations les ayant propulsé dans les médias grand public. Sans surprise, cela leur a valu un immense intérêt croissant, tant de la part du grand public que des cybercriminels. L’anonymat relatif offert par les crypto-monnaies en fait un favori des criminels qui les utilisent souvent pour contourner les systèmes bancaires traditionnels et éviter la surveillance financière de la part les régulateurs.

Étant donné que les gens passent plus de temps sur leur smartphone que sur leur ordinateur de bureau, il n’est donc pas surprenant que les cybercriminels se soient également tournés vers ces périphériques en question. L’article qui suit développe comment les arnaqueurs ciblent les utilisateurs de crypto-monnaie via leurs appareils mobiles, ainsi que quelques mesures que les utilisateurs peuvent prendre pour se protéger.


Les fausses applications crypto-monnaie

Les fausses applications d'échange de crypto-monnaie

L'exemple le plus connu de fausse application d'échange de crypto-monnaie est probablement celui de Poloniex. Avant le lancement de leur application de trading mobile officielle en juillet 2018, Google Play répertoriait déjà plusieurs fausses applications d'échange Poloniex, conçues intentionnellement pour être fonctionnelles. De nombreux utilisateurs ayant téléchargé ces applications frauduleuses ont vu leurs identifiants de connexion Poloniex compromis et leurs crypto-monnaies dérobées. Certaines applications sont même allées encore plus loin en demandant les informations de connexion des comptes Gmail des utilisateurs. Il est important de souligner que seuls les comptes sans authentification à deux facteurs (2FA) ont été compromis.

Les étapes suivantes peuvent vous aider à vous protéger contre de telles escroqueries.

  • Consultez le site officiel de l’échange pour vérifier s’il offre effectivement une application de trading mobile. Si oui, utilisez le lien fourni sur leur site web.

  • Lire les commentaires et les notes. Les applications frauduleuses ont souvent de nombreuses mauvaises critiques avec des personnes se plaignant d’avoir été victimes d’arnaques, alors assurez-vous de vérifier ces avis et commentaires avant de télécharger une application. Cependant, vous devez également rester sceptique quant aux applications présentant des notes et des commentaires parfaits. Toute application légitime a sa juste part de critiques négatives.

  • Vérifiez les informations du développeur de l'application. Recherchez si une entreprise légitime, une adresse électronique et un site Web sont fournis. Il est également conseillé d’effectuer une recherche en ligne sur les informations fournies pour voir si elles sont vraiment liées à la plateforme d’échange officielle.

  • Vérifiez le nombre de téléchargements. Le nombre de téléchargements doit également être pris en compte. Il est peu probable qu'une plateforme d’échange de crypto-monnaie très populaire produise un petit nombre de téléchargements.

  • Activez le 2FA sur vos comptes. Bien que non sécurisé à 100%, le 2FA est beaucoup plus difficile à contourner et peut faire une énorme différence dans la protection de vos fonds, même si vos identifiants de connexion sont compromis ( voir l’article concernant le phishing).


Les fausses applications de portefeuille de crypto-monnaies.

Il existe de nombreux types de fausses applications. Une variante cherche à obtenir des informations personnelles des utilisateurs, telles que leurs mots de passe de portefeuille et leurs clés privées.

Dans certains cas, de fausses applications fournissent aux utilisateurs des adresses publiques générées au préalable. Ces utilisateurs supposent donc que les fonds sont déposés sur ces adresses, sauf qu’au final, ils n’ont pas accès aux clés privées et n’ont donc pas accès aux fonds déposés.

Des exemples de ces faux portefeuilles ont été créés pour des crypto-monnaies populaires telles que Ethereum et Neo et, malheureusement, de nombreux utilisateurs ont perdu leurs fonds. Voici quelques mesures préventives à prendre pour éviter de devenir une victime:

  • Les précautions mises en évidence ci-dessus dans le segment concernant les fausses applications d'échange sont également applicables. Cependant, une précaution supplémentaire que vous pouvez prendre lorsque vous utilisez des applications de portefeuille consiste à vous assurer que de nouvelles adresses sont générées lors de la première ouverture de l'application et que vous êtes en possession des clés privées (ou des codes mnémoniques). Une application de portefeuille légitime vous permet d'exporter les clés privées, mais il est également important de veiller à ce que la génération de nouvelles paires de clés ne soit pas compromise. Il est donc conseillé d’utiliser un logiciel réputé (de préférence open source).

  • Même si l'application vous fournit une clé privée (ou une seed mnémonique), vous devez vérifier que les adresses publiques peuvent être dérivées et sont accessibles à partir de celles-ci. Par exemple, certains portefeuilles Bitcoin permettent aux utilisateurs d'importer leurs clés privées ou code mnémoniques afin de visualiser les adresses et d'accéder aux fonds. Pour minimiser les risques de compromission de clés et de seeds, vous pouvez le faire sur un ordinateur isolé (déconnecté d’Internet).


Les applications de Cryptojacking

Le Cryptojacking est l'une des manières favorites de procéder des cybercriminels en raison du peu d’obstacles présents dans sa réalisation et des faibles frais généraux. En outre, il leur offre le potentiel de revenus récurrents à long terme. Malgré leur faible puissance de traitement par rapport aux PC, les appareils mobiles sont de plus en plus la cible de cryptojacking.

Outre le crypto-piratage sur navigateur Web, les cybercriminels développent également des programmes qui semblent être des applications légitimes, de jeu, d’utilité publique ou éducatives. Cependant, bon nombre de ces applications sont conçues pour exécuter en secret des scripts de minage de crypto-monnaie en arrière-plan.

Il existe également des applications de crypto-piratage annoncées comme des mineurs tiers légitimes, mais les récompenses sont remises au développeur de l'application plutôt qu'aux utilisateurs.

Pour aggraver les choses, les cybercriminels sont devenus de plus en plus sophistiqués et ont déployé des algorithmes de minage légers pour éviter la détection.

Le cryptojacking est extrêmement nocif pour vos appareils mobiles car il dégrade les performances et accélère l'usure. Pire encore, ils pourraient potentiellement agir comme des chevaux de Troie pour des malwares plus néfastes.

Les mesures suivantes peuvent être prises pour s’en protéger.

  • Téléchargez uniquement les applications des stores officiels, tels que Google Play. Les applications piratées ne subissent pas de pré-sélection et sont plus susceptibles de contenir des scripts de cryptojacking.

  • Surveillez votre téléphone pour vous assurer que la batterie ne s'épuise pas ou ne surchauffe pas Une fois détecté, fermez les applications qui en sont la cause.

  • Gardez votre appareil et vos applications à jour de manière à corriger les vulnérabilités de sécurité.

  • Utilisez un navigateur Web qui protège du cryptojacking ou installez des plug-ins de navigateur réputés, tels que MinerBlock, NoCoin et Adblock).

  • Si possible, installez un logiciel antivirus pour mobile et maintenez-le à jour.


Des cadeaux gratuits et de fausses applications de minage de crypto-monnaies.

Ce sont des applications qui prétendent miner des crypto-monnaies pour leurs utilisateurs, mais qui ne font en fait rien d’autre que d’afficher des annonces publicitaires. Ils incitent les utilisateurs à garder les applications ouvertes en faisant miroiter une augmentation de leurs récompenses au fil du temps. Certaines applications incitent même les utilisateurs à laisser 5 étoiles afin d'obtenir des récompenses. Bien sûr, aucune de ces applications ne minait réellement, et leurs utilisateurs n'ont jamais reçu de récompense.

Pour vous protéger de cette arnaque, sachez que pour la majorité des crypto-monnaies, le minage nécessite un matériel hautement spécialisé (ASIC), ce qui signifie qu’il est impossible de miner sur un appareil mobile. Quels que soient les montants que vous extrayez, ils seraient au mieux triviaux. Restez à l'écart de ces applications.


Les applications Clipper

Ces applications modifient les adresses de crypto-monnaie que vous copiez et les remplacent par celles de l'attaquant. Ainsi, alors que la victime veut copier la bonne adresse du destinataire, celle qu’elle colle pour traiter la transaction est remplacée par celle de l’attaquant.

Pour éviter d'être victime de ces applications, voici quelques précautions à prendre lors du traitement des transactions.

  • Vérifiez toujours deux même trois fois l'adresse que vous collez dans le champ du destinataire. Les transactions sur la blockchain sont irréversibles, vous devez donc toujours y faire attention.

  • Il est préférable de vérifier l’adresse complète au lieu d’une partie seulement. Certaines applications sont suffisamment intelligentes pour coller des adresses qui ressemblent à l'adresse souhaitée.


Permutation de la carte SIM

Dans une escroquerie d'échange de carte SIM, un cybercriminel obtient l'accès au numéro de téléphone d'un utilisateur. Pour ce faire, ils utilisent des techniques d'ingénierie sociale pour inciter les opérateurs de téléphonie mobile à leur délivrer une nouvelle carte SIM. L'arnaque de permutation de cartes SIM la plus connue impliquait Michael Terpin, entrepreneur en crypto-monnaie. Il a allégué qu'AT&T avait fait preuve de négligence dans l'utilisation de ses identifiants de téléphone portable, ce qui l'avait à perdre une quantité de tokens d'une valeur supérieure à 20 millions de dollars.

Une fois que les cybercriminels ont eu accès à votre numéro de téléphone, ils peuvent l'utiliser pour contourner tout 2FA qui en dépend. À partir de là, ils peuvent accéder à vos portefeuilles et à vos plateformes d’échanges de crypto-monnaie.

Une autre méthode que les cybercriminels peuvent employer consiste à surveiller vos communications SMS. Des failles dans les réseaux de communication peuvent permettre aux criminels d'intercepter vos messages, ce qui peut inclure la broche du deuxième facteur du 2FA que vous êtes censés recevoir en vous identifiant.

Ce qui rend cette attaque particulièrement préoccupante, c'est que les utilisateurs peuvent en être victime sans avoir fauté d’aucune sorte,(à la différence des autres types d’arnaques où l’utilisateur est incité à télécharger un faux logiciel ou à cliquer sur un lien malveillant.)

Pour éviter de devenir la proie de ces escroqueries, voici quelques étapes à considérer.

  • N'utilisez pas votre numéro de téléphone portable pour le 2FA par SMS. Utilisez plutôt des applications telles que Google Authenticator ou Authy pour sécuriser vos comptes. Les cybercriminels ne peuvent pas accéder à ces applications même s'ils possèdent votre numéro de téléphone. Alternativement, vous pouvez utiliser le matériel 2FA tel que YubiKey ou la clé de sécurité Titan de Google.

  • Ne divulguez pas d'informations d'identification personnelles sur les réseaux sociaux, telles que votre numéro de téléphone mobile. Les cybercriminels peuvent collecter ces informations et les utiliser pour vous faire passer pour un autre.

  • Vous ne devriez jamais annoncer sur les réseaux sociaux que vous possédez des crypto-monnaies, cela ferait de vous une cible. Ou si vous êtes dans une position où tout le monde sait déjà que vous en êtes propriétaire, évitez de divulguer des informations personnelles, notamment les plateformes d’échanges ou les portefeuilles que vous utilisez.

  • Prenez des dispositions avec vos fournisseurs de téléphonie mobile pour protéger votre compte. Cela peut signifier attacher un code PIN ou un mot de passe à votre compte et indiquer que seuls les utilisateurs connaissant le code PIN peuvent apporter des modifications au compte. Vous pouvez également exiger que ces modifications soient apportées en personne et les refuser par téléphone.


Wifi

Les cybercriminels recherchent en permanence des points d’entrée dans les appareils mobiles, en particulier ceux des utilisateurs de crypto-monnaie. Un exemple probant est celui de l'accès WiFi. Le WiFi public n'est pas sécurisé et les utilisateurs doivent prendre des précautions avant de s'y connecter. Sinon, ils risquent de donner un accès aux cybercriminels vers les données stockées sur leurs appareils mobiles. Ces précautions ont été abordées dans l'article sur le WiFi public.


Pensées de clôture

Les téléphones mobiles sont devenus une partie essentielle de nos vies. De fait, ils sont tellement intimement liés à notre identité numérique qu'ils peuvent devenir notre plus grande vulnérabilité. Les cybercriminels sont conscients de cela et continueront de trouver des moyens d'exploiter ce constat. Sécuriser vos appareils mobiles n'est plus une option. C'est devenu une nécessité. Restez en sécurité.

Loading