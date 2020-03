Les histoires chanceuses abondent dans l’écosystème des crypto-monnaies qui ont émergé à mesure que la relation entre les humains et la technologie basée sur la blockchain progresse; Mais il existe également de nombreux témoignages de situations malheureuses concernant des fonds en bitcoins ou d’autres actifs cryptographiques qui sont désormais détenus par des pirates. C’est pour cette raison que dans cet article, nous vous montrons quatre méthodes utilisées par les cybercriminels et les formules que vous devez mettre en œuvre pour vous protéger.

Harry Denley, le directeur de la sécurité de la plate-forme MyCrypto a publié une série d’articles détaillant les résultats de ses recherches concernant les techniques que les pirates utilisent pour tricher et voler des fonds en bitcoins ou en éther à leurs victimes. Ici, nous parlons de quatre d’entre eux:

Attaque de phishing avancée

De nombreuses plateformes dans le monde des crypto-monnaies, en particulier les produits qui nécessitent que vous entriez des informations secrètes, vous demandent de vérifier le certificat SSL (Secure Sockets Layer) dans la barre d’adresse URL, qui est le titre numérique qui authentifie l’identité d’un site Web et crypte les informations envoyées au serveur. Mais, selon ce que Denley a souligné, vous ne devriez même pas faire entièrement confiance même si vous vérifiez ces éléments, car il y a déjà eu des attaques qui contournent ces mesures de sécurité avec l’objectif de manipuler l’utilisateur pour qu’il se croie sur un certain site web, alors qu’en réalité il n’est pas. Par conséquent, la recommandation est que les utilisateurs soient toujours vigilants et optent pour des mécanismes de sécurité supplémentaires.

La technique de phishing conduit à une page Web presque identique à l’original. Image de Rawpixel / elements.envato.com

En 2017, une attaque de phishing a réussi à voler plus de 15000 $ en ETH, avant d’être découverte par le hacker et le pentester Wesley Neelen, qui se consacre à tester le niveau de sécurité des services Web, afin de prévenir les attaques malveillantes.

L’attaque est survenue par le biais d’un e-mail provenant d’une adresse qui n’était apparemment abonnée qu’à la Kin Foundation, une offre initiale de pièces (ICO) qui était sur le marché à l’époque. Il y était précisé que MyEtherWallet (MEW) avait besoin de mettre à jour les informations sur le solde des portefeuilles en raison d’un fork qui se produirait plus tard.

Grâce à un lien contenu dans l’e-mail, les utilisateurs ont été redirigés vers un site Web qui copiait exactement l’interface de la page officielle MEW, la seule différence était une sorte de virgule en dessous du t, ce qui correspond à un caractère latin qui a été entré via une astuce Unicode. Le site a même implémenté HTTPS, qui a montré la page comme sécurisée, en utilisant un service gratuit appelé Let’s Encrypt.

Voici à quoi ressemble une fausse page qui vise à voler les données des imprudents. Source: Wesley Neele Research.

Formules pour l’éviter

Restez vigilant à tout moment et vérifiez si votre navigateur passe en mode plein écran. Ne saisissez jamais vos informations d’identification ou vos clés privées sur des sites Web, ni dans ceux que vous êtes arrivés via un lien.

N’entrez pas de pages Web via des liens, mais en tapant directement dans la barre d’adresse. De même, les experts recommandent d’installer EtherAddressLookup, un plug-in pour le navigateur Chrome, ou d’utiliser MetaMask, qui héberge vos clés privées et bloque les adresses utilisées pour le phishing qui sont enregistrées dans leur liste de sites frauduleux.

Apprenez et partagez des informations sur les nouvelles tactiques de pêche au sein de la communauté. Si vous pensez que quelque chose semble étrange, faites confiance à votre instinct et trouvez une source fiable pour tout ce que vous essayez d’exécuter. Utilisez des portefeuilles matériels ou implémentez la vérification 2FA sur vos portefeuilles.

Denley, qui gère la base de données d’escroquerie de crypto-monnaie EtherscamDB, recommande aux utilisateurs d’être vigilants sur les avertissements publiés sur ce site Web.

Méfiez-vous des extensions malveillantes

Lors de la conférence Baltic Honeybadger à Riga, tenue en septembre dernier, le PDG de Casa, Jeremy Welch, a averti le public que les extensions de navigateur peuvent aider les fraudeurs et les pirates à voler vos bitcoins ou autres crypto-monnaies.

Les extensions peuvent collecter une grande quantité de données, qui peuvent être filtrées, volées et utilisées par des escrocs. Un exemple est l’historique du navigateur, qui peut révéler les habitudes en ligne des utilisateurs, y compris les visites sur site liées aux crypto-monnaies. De même, Welch a fait l’avertissement aux personnes présentes: “Assurez-vous de ne pas exposer vos adresses bitcoin n’importe où.”

Une promesse qui est «trop belle pour être vraie» est fréquemment utilisée comme appât par les pirates informatiques. Image by DC_Studio / elements.envato.com

Sur ce même sujet, Harry Denley, a rapporté sur son blog, un projet qui promet de restituer de l’argent pour chaque transaction effectuée par les utilisateurs, à condition qu’ils installent une extension de navigateur. Le produit promet jusqu’à 5% de remboursement. Mais, “un produit qui promet jusqu’à 5% de retour sur toutes vos transactions de crypto-monnaie, est trop beau pour être vrai”, explique l’expert. Ainsi, après avoir inspecté le code, il a découvert que le site se comportait malicieusement.

Il s’avère que lorsque les utilisateurs installent l’extension de navigateur, il demande l’accès à divers sites spécifiques tels que Github, Exmo, Coinbase, HitBTC, LocalBitcoins, entre autres. Demandez également l’accès à divers onglets ouverts et à leurs cookies. L’objectif des pirates, est ensuite d’utiliser ces autorisations pour voler les fonds en bitcoins stockés dans des maisons de change et portefeuilles de crypto-monnaie. «Pour résumer en une phrase, volez tous vos secrets en fonction du domaine dans lequel vous vous trouvez. Par exemple, dans Binance, il vole vos données d’accès, les codes 2FA, les jetons CSRF et essaie de retirer automatiquement les crypto-monnaies », explique Denley.

Étapes pour vous protéger

N’installez pas de logiciel que vous ne pouvez pas lire et qui demande des autorisations d’intrusion. Si quelque chose semble mal, c’est probablement le cas. Évaluez ce qui pourrait vous amener à modifier votre expérience utilisateur. Vérifiez périodiquement les extensions que vous avez dans votre navigateur, éliminez celles que vous n’utilisez plus.

Si vous avez installé des extensions de navigateur que si vous utilisez, recherchez des versions open source ou des alternatives. Désactivez également les mises à jour automatiques de Chrome et assurez-vous d’auditer le code ou de trouver quelqu’un de confiance qui peut vous aider à rester en sécurité.

Soyez prudent avec vos documents KYC

De nombreuses maisons de change de crypto-monnaie exigent que leurs utilisateurs vérifient leurs comptes via KYC (Know Your Costumer or Know Your Client), mais en ce qui concerne ce processus, Denley alerte les utilisateurs: ils doivent être prudents avec leurs informations.

L’expert rapporte qu’il a enquêté sur une plate-forme de crypto-monnaie, après avoir découvert que les photos de l’équipe dirigeante présumée sur le site Web étaient fausses. Par exemple, son OGC nommé Rizwan Gray était représenté avec une photo d’un professeur de l’Université de Fairleigh Dickinson nommé Dr. Jonathan Schiff.

Le processus d’authentification KYC nécessite une attention particulière pour éviter d’envoyer des informations sensibles à des personnes malveillantes. Image de master1305 / elements.envato.com

Mais, au-delà de ce que l’enquête a révélé, est vraiment troublant. «Tout d’abord, le projet s’exécute sur WordPress – ce qui n’est pas si mauvais en soi – mais WordPress n’est pas le summum de la sécurité, et c’est particulièrement mauvais pour un projet exécutant une ICO qui nécessite des documents KYC. J’ai parcouru le répertoire qui stocke les téléchargements WordPress et j’ai constaté que plus de 15 000 documents KYC étaient répertoriés. 15 000 documents ont été publiés. 15 000 documents accessibles à tous », explique Denley dans son billet.

Étapes pour rester en sécurité

Si les documents que les utilisateurs fournissent pour se conformer à la procédure KYC, parviennent aux pirates, ces Ils peuvent être utilisés pour vous nuire de différentes manières, comme voler votre identité, voler vos fonds en bitcoins et autres crypto-monnaies, détruire votre cote de crédit, détruire votre réputation et causer de gros problèmes dans votre vie.

Les experts vous recommandent de vous arrêter un peu et d’évaluer si vous appréciez vraiment le projet dans lequel vous allez laisser vos données. Demandez-vous si vous croyez en leur sécurité, leur vision et leur soumettre pour examen si vous pensez que vous devriez télécharger vos documents d’identité à un serveur aléatoire géré par des administrateurs inconnus.

Un autre fait que Denley laisse est que si vous téléchargez vos documents requis par la procédure KYC vers un échange ou une ICO en qui vous avez confiance, assurez-vous de le sceller avec le domaine de cette plate-forme afin qu’il soit plus difficile d’être utilisé de manière malveillante en cas de fuite.

Protégez votre clé privée

Paul Puey, PDG et co-fondateur du portefeuille mobile Edge, en conversation avec CriptoNoticias a parlé de la nécessité de sécuriser les clés privées afin que seul l’utilisateur puisse y accéder.

Pour Puey, la technologie de la blockchain crée un nouveau paradigme de sécurité numérique, car il estime que les crypto-monnaies et la technologie de la blockchain ont placé le contrôle total de l’argent numérique entre les mains des individus et “que le pouvoir est ce qui amène la responsabilité de protéger les données afin qu’un seul utilisateur puisse y accéder ».

Le mot de passe testé ne doit être entré sur aucun site Web. Image de Rawpixel / elements.envato.com

Mais si ce sont les utilisateurs qui doivent avoir le contrôle absolu de leurs clés privées, les utilisateurs doivent aussi savoir que pour authentifier une transaction sur une blockchain, aucun nom d’utilisateur n’est requis, seule la clé privée est requise.

«Lors de l’envoi de votre éther, vous n’avez pas besoin d’avoir à la fois les clés publiques et privées. Tout ce dont vous avez besoin est une clé privée pour accéder à un portefeuille. Cela crée un risque supplémentaire, car un escroc ou un site de phishing n’a besoin que d’obtenir ces informations uniques pour ruiner sa journée, son mois, son année, sa vie “, explique Harry Denley sur son blog.

Donc, si un utilisateur perd sa clé privée, il n’y aura rien à faire, car vos clés privées ne sont pas stockées sur un serveur central. Si vous perdez votre clé privée, vos fonds seront perdus pour toujours, il n’y a aucun moyen de les récupérer.

En revanche, si quelqu’un accède à votre clé privée, la seule chose que vous pouvez faire est de se déplacer plus rapidement que les pirates qui ont obtenu la clé privée et d’essayer de protéger les fonds en bitcoins, avant de les transférer et de les perdre.

Vous serez peut-être surpris par l’expression utilisée par Denley: “Utiliser une clé privée pour accéder à vos actifs, en particulier sur un site Web, c’est jouer avec le feu.”

Taylor Monahan, fondateur et PDG de MyEtherWallet en a également parlé: «Lorsque nous avons commencé à créer MyEtherWallet, je ne savais pas à quel point il était dangereux d’encourager les gens à utiliser leurs clés privées sur un site Web. Je pensais que si nous étions dignes de confiance et n’envoyions jamais de clés privées nulle part, ce serait sûr. C’était myope, stupide, ignorant, nuisible et nous ne pourrons jamais remonter le temps pour changer les décisions que nous avons prises début 2015. »

Monahan dit qu’après avoir réalisé qu’ils guidaient les utilisateurs à adopter une mauvaise pratique, ils rééduquent maintenant la communauté en les avertissant qu’ils ne devraient en aucun cas entrer leurs clés privées sur un site Web. En outre, ils avertissent leurs utilisateurs qu’en procédant ainsi, ils risquent de devenir des victimes de pirates, hameçonneurs, escrocs et cybercriminels, qui prétendent prendre le contrôle des bitcoins et autres crypto-monnaies.

Les statistiques montrant EtherrebDB montrent que plus de 40 000 ETH ont été envoyés à des adresses marquées comme affiliées à des sites d’escroquerie ou de phishing. Ces fonds sont uniquement ceux qui ciblent des personnes qui ont laissé leur mot de passe sur des sites Web.

Pour vous protéger, veillez à appliquer les éléments suivants:

Changez vos mots de passe et faites-en une forteresse. Un bon mot de passe ressemble à ceci: 3rd awM # A ^ 9x & r61v. Utilisez un gestionnaire de mots de passe pour en générer un avec des caractères et symboles majuscules et minuscules.

Si vous n’avez pas de gestionnaire de mots de passe, installez-en un, par exemple 1Password ou LastPass. N’utilisez pas le gestionnaire de mots de passe intégré à votre navigateur, ni saisissez les détails de votre carte de crédit ou d’autres informations dans aucun d’entre eux. Configurez-le correctement sur tous les appareils. Protégez votre gestionnaire de mots de passe avec 2FA via Google Authenticator.

Modifiez tous vos mots de passe, même ceux que vous avez sur Skype, Twitter, Instagram et autres. Ne répétez jamais vos mots de passe dans différents services. Mettez l’authentification 2FA sur tous les services où vous mettez une clé privée.

Ne conservez pas de copies de sauvegarde de votre clé privée sur votre ordinateur ou tout autre équipement. Si les choses ne se perdent pas facilement, pensez à des options telles que Yubikey, une clé d’authentification USB résistante au phishing, au piratage et au phishing qui vous permet de vous connecter à un environnement sécurisé pour accéder à vos fonds en bitcoins et autres crypto-monnaies. Utilisez une imprimante pour imprimer vos copies de sauvegarde des clés privées de vos portefeuilles, ou des copies de sauvegarde du code Google Authenticator et autres. Pensez à utiliser des portefeuilles froids pour protéger vos économies.