Comment se protéger des escroqueries par crypto phishing ?

Reconnaître les tactiques de phishing courantes

1. Les sites Web frauduleux imitent les pages d'échange légitimes ou de connexion au portefeuille avec de légères variations d'URL comme « binance-support.net » au lieu de « binance.com ».

2. Les faux comptes Telegram ou Discord usurpent l'identité des équipes d'assistance officielles, utilisant souvent des photos de profil et des noms presque identiques à ceux des chaînes vérifiées.

3. Les e-mails affirment qu'une vérification urgente du compte est requise, intégrant des liens malveillants menant à des formulaires de collecte d'informations d'identification.

4. Les SMS informent les utilisateurs de « tentatives de connexion inhabituelles », les incitant à cliquer immédiatement vers de faux portails d'authentification à deux facteurs.

5. Des alertes contextuelles lors de la navigation sur le Web avertissent des mises à jour des extensions de portefeuille : elles sont conçues pour installer des logiciels malveillants déguisés en logiciels légitimes.

Sécurisez l'accès à votre portefeuille

1. N'entrez jamais votre phrase de départ sur un site Web, même si elle prétend être destinée à la « récupération » ou à la « vérification ».

2. Utilisez des portefeuilles matériels pour le stockage à froid et confirmez chaque transaction sur l'écran physique de l'appareil avant de l'approuver.

3. Désactivez le remplissage automatique du navigateur pour les champs liés à la cryptographie afin d'éviter toute exposition accidentelle de clés privées ou de mots de passe.

4. Activez les fonctionnalités de liste blanche de domaines spécifiques au portefeuille lorsqu'elles sont disponibles, telles que la gestion des « Sites connectés » de MetaMask.

5. Évitez d'installer des extensions de navigateur tierces sans rapport avec l'utilisation principale de votre portefeuille : il a été constaté que beaucoup d'entre elles exfiltrent les données du presse-papiers lors du collage d'adresses.

Vérifier les sources de communication

1. Vérifiez les identifiants officiels des réseaux sociaux en visitant directement le site Web vérifié du projet, et non via les résultats des moteurs de recherche ou les liens partagés.

2. Recherchez les coches bleues sur Twitter/X, mais rappelez-vous qu'elles peuvent être truquées ; comparez toujours les noms de handles caractère par caractère.

3. Les annonces officielles ne demandent jamais aux utilisateurs d'envoyer des jetons pour « vérifier la propriété » ou « débloquer les fonctionnalités du portefeuille ».

4. Si vous recevez un message direct d'une personne prétendant représenter un échange, accédez manuellement à son portail d'assistance officiel et prenez-y contact.

5. Ajoutez uniquement aux favoris les URL exactes des plateformes de confiance et évitez de cliquer sur les liens raccourcis, même ceux partagés dans des discussions de groupe cryptées.

Renforcer les défenses du compte

1. Activez les exigences de multi-signature pour les adresses de portefeuille de grande valeur, nécessitant l'approbation de plusieurs appareils ou individus.

2. Utilisez des mots de passe uniques et complexes pour chaque service de chiffrement et stockez-les exclusivement dans des gestionnaires de mots de passe audités, et non dans des applications de notes ou des documents cloud.

3. Désactivez l'authentification à deux facteurs par SMS au profit d'applications d'authentification ou de clés de sécurité matérielles : l'échange de cartes SIM reste un vecteur répandu.

4. Auditez régulièrement les dApp connectées via les interfaces de portefeuille et révoquez les autorisations pour les applications inutilisées ou suspectes.

5. Surveillez l'historique des transactions blockchain pour détecter les approbations non autorisées, en particulier pour les allocations de jetons ERC-20 sur Ethereum et les chaînes compatibles.

Foire aux questions

Q : Des attaques de phishing peuvent-elles se produire même si j'utilise un portefeuille matériel ? R : Oui. Les portefeuilles matériels protègent les clés privées, mais ils ne peuvent pas vous empêcher de signer des transactions initiées par des dApps malveillantes ou de faux sites Web. Vérifiez toujours les adresses des destinataires sur l'écran de l'appareil avant de confirmer.

Q : Est-il sécuritaire de partager l’adresse de mon portefeuille public ? R : Oui. Les adresses publiques sont conçues pour le partage. Cependant, ne partagez jamais de captures d'écran contenant des codes QR avec des métadonnées telles que des horodatages ou des balises de localisation : certains kits de phishing récupèrent ces images à des fins de ciblage.

Q : Que dois-je faire si j'ai accidentellement saisi ma phrase de départ sur un site de phishing ? R : Déplacez immédiatement tous les fonds vers un portefeuille nouvellement généré avec une nouvelle phrase de départ. Ne réutilisez aucune adresse associée à la phrase compromise, même si aucun fonds n'a encore été volé.

Q : Les escroqueries par phishing sont-elles plus courantes pendant les marchés haussiers ? R : Les données montrent que le volume des incidents de phishing augmente considérablement lors des flambées de prix. Les attaquants exploitent l’activité accrue des utilisateurs, le comportement piloté par FOMO et une surveillance réduite des liens ou des offres inconnus.