Comment vous protéger contre les escroqueries par phishing ?

Comprendre le phishing dans l'écosystème des crypto-monnaies

1. Les attaques de phishing ciblent les utilisateurs de crypto-monnaie en usurpant l'identité de plateformes légitimes telles que Binance, MetaMask ou Coinbase via de faux sites Web et e-mails.

2. Les fraudeurs enregistrent souvent des domaines avec de légères variations orthographiques, comme « metamask-secure[.]com » au lieu de « metamask.org » – pour inciter les utilisateurs à saisir des clés privées ou des phrases de départ.

3. Les invites de connexion au portefeuille sur les dApps malveillantes peuvent demander des autorisations inutiles, permettant des transferts de jetons non autorisés une fois approuvés.

4. Les faux groupes Telegram ou Discord imitent les canaux communautaires officiels, distribuant des liens de connexion de portefeuille compromis ou des pages de réclamation de largage aérien contenant des logiciels malveillants.

5. Le piratage d'extensions de navigateur a entraîné des pertes réelles lorsque les utilisateurs installent des versions contrefaites de MetaMask qui enregistrent les frappes au clavier et exfiltrent les informations d'identification.

Vérifier l'authenticité avant l'interaction

1. Tapez toujours manuellement les URL officielles connues dans la barre d'adresse du navigateur plutôt que de cliquer sur les liens des e-mails, des DM ou des résultats des moteurs de recherche.

2. Vérifiez les certificats SSL valides et inspectez le nom de domaine caractère par caractère : recherchez les attaques d'homographes utilisant des lettres cyrilliques ou grecques qui ressemblent visuellement à des caractères latins.

3. Faites des références croisées avec les comptes de réseaux sociaux à l'aide de badges de vérification officiels et comparez le nombre de followers, l'historique des publications et la cohérence des annonces sur toutes les plateformes.

4. Confirmez les demandes de connexion au portefeuille en vérifiant l'adresse exacte du contrat sur Etherscan ou Solscan avant de signer toute transaction, même si l'interface semble légitime.

5. Désactivez les connexions automatiques de portefeuille dans les extensions de navigateur et exigez une confirmation explicite de l'utilisateur chaque fois qu'un site demande l'accès.

Sécuriser l'infrastructure du portefeuille

1. Stockez les phrases de départ exclusivement hors ligne (sur des périphériques de sauvegarde métalliques ou sur du papier manuscrit conservé dans des emplacements physiques sécurisés) et non dans le stockage cloud, les captures d'écran ou les applications de messagerie.

2. Utilisez des portefeuilles matériels comme Ledger ou Trezor pour les avoirs de grande valeur, en garantissant que les opérations de clé privée se déroulent dans des environnements inviolables.

3. Activez les exigences de multi-signature pour les portefeuilles critiques, exigeant les approbations de plusieurs appareils indépendants ou parties de confiance avant le mouvement des fonds.

4. Créez des portefeuilles distincts à des fins différentes : un pour les transactions quotidiennes, un autre pour la détention à long terme et un troisième pour interagir avec des dApps non fiables.

5. Vérifiez régulièrement l'historique des transactions du portefeuille et les approbations de jetons via des outils tels que Revoke.cash ou l'onglet Approbations de jetons d'Etherscan pour détecter les autorisations non autorisées.

Reconnaître les signaux d’alarme de l’ingénierie sociale

1. Un langage urgent exigeant une action immédiate – « Votre portefeuille sera gelé dans 2 heures à moins que vous ne le vérifiiez maintenant » – est une caractéristique des tentatives de phishing.

2. Les offres de rendements irréalistes, de parachutages garantis ou de frappe NFT gratuite servent souvent de leurre pour récolter des signatures de portefeuille ou déployer des contrats malveillants.

3. Les demandes d'assistance non sollicitées affirmant que votre compte est compromis et demandant des captures d'écran de phrases de récupération violent toutes les meilleures pratiques de sécurité.

4. Les appels vocaux ou vidéo usurpant l’identité du personnel d’échange demandant un accès au bureau à distance ou un partage d’écran ne sont jamais lancés par des fournisseurs de services de cryptographie légitimes.

5. Les divergences dans l'image de marque, telles que des logos incompatibles, des polices incohérentes ou des éléments de mise en page cassés, sont le signe d'interfaces de phishing mal construites.

Foire aux questions

Q : Puis-je récupérer les fonds envoyés à un contrat de phishing ? R : La récupération est généralement impossible une fois les jetons transférés vers une adresse contrôlée par les fraudeurs, car les transactions blockchain sont irréversibles et décentralisées.

Q : Est-il sûr d'utiliser des extensions de portefeuille sur les navigateurs mobiles ? R : La plupart des navigateurs mobiles ne prennent pas en charge les extensions de portefeuille de manière sécurisée ; évitez de connecter des portefeuilles directement via Safari ou Chrome sur iOS/Android : utilisez plutôt des applications de portefeuille dédiées.

Q : Les sites de phishing apparaissent-ils parfois dans les résultats de recherche Google ? R : Oui : les fraudeurs utilisent des techniques d'empoisonnement du référencement pour placer les domaines malveillants au-dessus des domaines officiels ; vérifiez toujours les URL avant de continuer, même si vous êtes classé premier.

Q : Un logiciel antivirus peut-il détecter les pages de crypto-hameçonnage ? R : Certains outils de sécurité des terminaux signalent les domaines de phishing connus, mais ils ne peuvent pas détecter les sites frauduleux nouvellement enregistrés ou Zero Day : une vérification manuelle reste essentielle.