Crypto-criminalité : ce type d’arnaques a coûté 374 millions de dollars en 2023

Le hameçonnage par consentement, un fléau en 2023 ?

Selon Chainalysis, la technique n’a rien de nouveau, mais elle est de plus en plus utilisée dans le secteur des cryptomonnaies. Tout comme pour le phishing, ou hameçonnage, elle consiste à inciter une victime à transmettre des informations qui permettront aux malfaiteurs d’accéder à ses cryptomonnaies.

Mais dans le cas du hameçonnage « par consentement », la victime signera elle-même une transaction frauduleuse :

« L’arnaqueur trompe l’utilisateur en l’incitant à signer une transaction frauduleuse sur la blockchain, ce qui donne à l’arnaqueur l’approbation pour dépenser des tokens spécifiques au sein du portefeuille de la victime. »

👉 Pour aller plus loin – Top 7 des arnaques aux cryptomonnaies les plus courantes – Comment les repérer ?

La victime donne donc à une entité le droit de dépenser ses tokens à partir d’une seconde adresse, qui devient un « approved spender ». L’entité en question envoie ensuite les tokens en question sur une adresse externe, qu’elle est la seule à contrôler :

La méthode d’« approval phishing »

Les arnaqueurs jouent sur le fait que la victime pense approuver une dépense pour une somme spécifique : elle ne se rend pas compte qu’elle donne en réalité le contrôle total de ses tokens. Par ailleurs, puisque les malfaiteurs ne contrôlent « que » un type de tokens, ils n’ont pas besoin de demander de phrase de récupération, ce qui pourrait éveiller davantage les soupçons.

Une méthode qui se base sur les habitudes liées aux dApps

Il faut rappeler que c’est ainsi que les applications décentralisées (dApps) fonctionnent : les utilisateurs connectent leurs portefeuilles à des sites, qui font ensuite usage des fonds sélectionnés. Dans ce cas légitime, les fonds des utilisateurs sont sécurisés, car la dApp dispose de fonctionnalités dédiées. Elle vérifiera par exemple que la demande de retrait provient bien de l’adresse de l’utilisateur.

Le hameçonnage par consentement fait donc usage des habitudes des utilisateurs de dApps, en enlevant quelques mesures de sécurité clés. Par ailleurs, selon les recherches de Chainalysis, cette méthode devient de plus en plus ciblée :

« Les “phishers” ciblent de plus en plus des victimes spécifiques, en construisant des relations avec eux, et en utilisant des techniques liées aux arnaques romantiques, afin de convaincre les victimes de signer des autorisations. »

Les arnaqueurs peuvent donc endormir les soupçons de leurs victimes en créant de fausses relations. Cela, combiné au fait que les fonds sont envoyés de manière approuvée par le portefeuille de la victime, peut rendre le repérage de l’arnaque difficile.

Comment se protéger du targeted phishing ?

De janvier à novembre derniers, le hameçonnage par consentement a conduit à des préjudices de 374,6 millions de dollars, et à 516 millions de dollars sur l’intégralité de l’année 2022. Pour se protéger de ce type de scams, il faut donc faire très attention aux autorisations que l’on signe.

👉 A lire également – Comment sécuriser et stocker ses cryptomonnaies ?

Retenez que ce n’est pas parce qu’on ne vous demande pas votre phrase de récupération qu’une personne n’a pas accès à vos fonds. Lorsqu’on vous demande une autorisation, il faut donc vérifier que l’entité est connue, que vous vous trouvez sur un « vrai » site et pas une copie, et que vous êtes conscient du niveau d’accès que vous donnez.

Journaliste chez Cryptoast depuis 2017, je suis passionnée par les enjeux de décentralisation, de vie privée et de régulation. Je me suis spécialisée dans l'économie et la finance traditionnelle en analysant comment les actualités de ce secteur influencent celui des cryptomonnaies, offrant ainsi une perspective unique et éclairée aux lecteurs de Cryptoast.

Marine Debelloir

3806 articles

Tous ses articles