Comment éviter de perdre des cryptomonnaies suite à des attaques d'ingénierie sociale

Comprendre l'ingénierie sociale dans la cryptographie

1. Les attaques d’ingénierie sociale dans le domaine des cryptomonnaies reposent entièrement sur la psychologie humaine plutôt que sur des exploits techniques.

2. Les attaquants se font passer pour des personnalités de confiance telles que le personnel d'assistance d'échange, les fondateurs de projets ou les modérateurs de la communauté pour gagner en crédibilité.

3. Ces acteurs exploitent l’urgence, la rareté ou les signaux d’autorité – comme un « largage aérien à durée limitée » ou une « suspension imminente du portefeuille » – pour déclencher des actions impulsives.

4. Les victimes sont souvent amenées à signer des transactions malveillantes, à saisir des phrases de départ dans de fausses interfaces ou à approuver les autorisations de portefeuille pour des dApp malveillantes.

5. Contrairement aux vulnérabilités des contrats intelligents, ces attaques ne laissent aucune trace sur la chaîne jusqu'à ce que les fonds disparaissent, ce qui rend la récupération médico-légale presque impossible.

Tactiques courantes utilisées par les fraudeurs

1. Usurpation d’identité Discord et Telegram : de faux comptes vérifiés reproduisent la marque officielle jusqu’aux photos de profil, aux liens biographiques et aux messages épinglés.

2. Kits de phishing basés sur des notions : les sites de documentation frauduleux imitent des feuilles de route de projets légitimes ou des pages tokenomics tout en intégrant des scripts de piratage de connexion au portefeuille.

3. Leurres « Essai de jeu » : les utilisateurs reçoivent des DM offrant un accès anticipé aux jeux NFT, les invitant à connecter des portefeuilles à des portails Web3 contrefaits.

4. Appels vidéo Deepfake : les comptes de réseaux sociaux vérifiés publient de courts extraits de « fondateurs » annonçant des mises à niveau urgentes du protocole nécessitant une interaction immédiate avec le portefeuille.

5. Escroqueries par signature aveugle : les utilisateurs sont amenés à signer des messages de données tapés EIP-712 qui autorisent des transferts illimités de jetons sans avertissement visible.

Mécanismes de défense au niveau du portefeuille

1. Ne saisissez jamais de phrases de départ ou de clés privées nulle part, ni dans les navigateurs, ni dans les applications téléchargées, ni dans les notes cloud.

2. Utilisez des portefeuilles matériels pour tous les avoirs importants ; confirmez chaque transaction sur l'appareil avant de finaliser.

3. Désactivez les fonctionnalités de signature automatique dans les extensions de navigateur telles que MetaMask ; examinez manuellement chaque paramètre dans les fenêtres contextuelles de transaction.

4. Restreignez les autorisations du portefeuille à l'aide d'outils tels que Rabby ou WalletGuard pour empêcher les approbations non autorisées de jetons entre les chaînes.

5. Conservez des portefeuilles séparés – un pour les frais quotidiens de gaz, un autre pour le stockage à long terme – avec des phrases de départ distinctes et sans réticulation.

Sauvegardes communautaires et de communication

1. Vérifiez les canaux de communication officiels via plusieurs sources indépendantes : référentiels GitHub, enregistrements DNS de domaine et adresses de contrat blockchain.

2. Traitez par défaut les DM non sollicités comme hostiles, même s'ils semblent provenir de contacts connus, vérifiez via un appel vocal ou vidéo en dehors de la messagerie de la plateforme.

3. Ajoutez uniquement les domaines principaux directement saisis dans les navigateurs ; évitez de cliquer sur les liens des publications sur les réseaux sociaux ou des notifications par e-mail.

4. Activez l'authentification à deux facteurs sur tous les comptes associés (y compris les connexions de messagerie, de stockage dans le cloud et d'échange) en utilisant des clés de sécurité matérielles lorsque cela est possible.

5. Participez aux efforts de modération de la communauté en signalant immédiatement les comptes suspects et en partageant des protocoles de contact vérifiés avec les nouveaux membres.

Foire aux questions

Q1 : Un portefeuille matériel peut-il être compromis par l’ingénierie sociale ? Oui, si l'utilisateur est convaincu de signer une transaction malveillante affichée sur l'écran de l'appareil. Le portefeuille matériel lui-même reste sécurisé, mais le consentement humain permet le transfert de fonds.

Q2 : Les portefeuilles multisig sont-ils immunisés contre l’ingénierie sociale ? Non. Si les attaquants obtiennent les signatures d'un nombre suffisant de signataires (par tromperie, coercition ou vol d'identifiants), le seuil multisig peut toujours être atteint et les fonds déplacés.

Q3 : Les portefeuilles d’extensions de navigateur avertissent-ils les utilisateurs des connexions dApp dangereuses ? La plupart ne fournissent pas d’évaluation contextuelle des risques. Ils demandent uniquement l'approbation de la connexion sans indiquer si la dApp a été signalée pour phishing ou comportement malveillant.

Q4 : Est-il sûr d'utiliser les plates-formes DeFi connectées à un portefeuille recommandées dans les groupes Telegram ? Non. Les recommandations non vérifiées comportent un risque élevé. Même les plates-formes dotées d'interfaces utilisateur d'apparence légitime peuvent acheminer les transactions via des contrats proxy malveillants qui drainent les soldes en silence.