Crypto-criminalité : ce type d’arnaques a coûté 374 millions de dollars en 2023
L’écosystème crypto évolue constamment, et les méthodes des criminels aussi. La firme d’analyses Chainalysis a ainsi partagé une technique qui a pris de l’ampleur en 2023 : le hameçonnage par consentement (targeted approval phishing). De quoi s’agit-il et comment s’en protéger ?
le 5 janvier 2024 à 11:00.
3 minutes de lecture
Le hameçonnage par consentement, un fléau en 2023 ?
Selon Chainalysis, la technique n’a rien de nouveau, mais elle est de plus en plus utilisée dans le secteur des cryptomonnaies. Tout comme pour le phishing, ou hameçonnage, elle consiste à inciter une victime à transmettre des informations qui permettront aux malfaiteurs d’accéder à ses cryptomonnaies.
Mais dans le cas du hameçonnage « par consentement », la victime signera elle-même une transaction frauduleuse :
« L’arnaqueur trompe l’utilisateur en l’incitant à signer une transaction frauduleuse sur la blockchain, ce qui donne à l’arnaqueur l’approbation pour dépenser des tokens spécifiques au sein du portefeuille de la victime. »
👉 Pour aller plus loin – Top 7 des arnaques aux cryptomonnaies les plus courantes – Comment les repérer ?
La victime donne donc à une entité le droit de dépenser ses tokens à partir d’une seconde adresse, qui devient un « approved spender ». L’entité en question envoie ensuite les tokens en question sur une adresse externe, qu’elle est la seule à contrôler :
La méthode d’« approval phishing »
Les arnaqueurs jouent sur le fait que la victime pense approuver une dépense pour une somme spécifique : elle ne se rend pas compte qu’elle donne en réalité le contrôle total de ses tokens. Par ailleurs, puisque les malfaiteurs ne contrôlent « que » un type de tokens, ils n’ont pas besoin de demander de phrase de récupération, ce qui pourrait éveiller davantage les soupçons.
Rejoignez la communauté Cryptoast sur DiscordUne méthode qui se base sur les habitudes liées aux dApps
Il faut rappeler que c’est ainsi que les applications décentralisées (dApps) fonctionnent : les utilisateurs connectent leurs portefeuilles à des sites, qui font ensuite usage des fonds sélectionnés. Dans ce cas légitime, les fonds des utilisateurs sont sécurisés, car la dApp dispose de fonctionnalités dédiées. Elle vérifiera par exemple que la demande de retrait provient bien de l’adresse de l’utilisateur.
Le hameçonnage par consentement fait donc usage des habitudes des utilisateurs de dApps, en enlevant quelques mesures de sécurité clés. Par ailleurs, selon les recherches de Chainalysis, cette méthode devient de plus en plus ciblée :
« Les “phishers” ciblent de plus en plus des victimes spécifiques, en construisant des relations avec eux, et en utilisant des techniques liées aux arnaques romantiques, afin de convaincre les victimes de signer des autorisations. »
Les arnaqueurs peuvent donc endormir les soupçons de leurs victimes en créant de fausses relations. Cela, combiné au fait que les fonds sont envoyés de manière approuvée par le portefeuille de la victime, peut rendre le repérage de l’arnaque difficile.
Ledger : la meilleure solution pour protéger vos cryptomonnaiesComment se protéger du targeted phishing ?
De janvier à novembre derniers, le hameçonnage par consentement a conduit à des préjudices de 374,6 millions de dollars, et à 516 millions de dollars sur l’intégralité de l’année 2022. Pour se protéger de ce type de scams, il faut donc faire très attention aux autorisations que l’on signe.
👉 A lire également – Comment sécuriser et stocker ses cryptomonnaies ?
Retenez que ce n’est pas parce qu’on ne vous demande pas votre phrase de récupération qu’une personne n’a pas accès à vos fonds. Lorsqu’on vous demande une autorisation, il faut donc vérifier que l’entité est connue, que vous vous trouvez sur un « vrai » site et pas une copie, et que vous êtes conscient du niveau d’accès que vous donnez.
Recevez un récapitulatif de l'actualité crypto chaque lundi par mail 👌
Ce qu’il faut savoir sur les liens d’affiliation. Cette page peut présenter des actifs, des produits ou des services relatifs aux investissements. Certains liens présents dans cet article peuvent être affiliés. Cela signifie que si vous achetez un produit ou que vous vous inscrivez sur un site depuis cet article, notre partenaire nous reverse une commission. Cela nous permet de continuer à vous proposer des contenus originaux et utiles. Il n'y a aucune incidence vous concernant et vous pouvez même obtenir un bonus en utilisant nos liens.
Les investissements dans les crypto-monnaies sont risqués. Cryptoast n'est pas responsable de la qualité des produits ou services présentés sur cette page et ne pourrait être tenu responsable, directement ou indirectement, par tout dommage ou perte causé suite à l'utilisation d'un bien ou service mis en avant dans cet article. Les investissements liés aux crypto-actifs sont risqués par nature, les lecteurs doivent faire leurs propres recherches avant d'entreprendre toute action et n’investir que dans les limites de leurs capacités financières. Cet article ne constitue pas un conseil en investissement.
Recommandations de l'AMF. Il n’existe pas de rendement élevé garanti, un produit présentant un potentiel de rendement élevé implique un risque élevé. Cette prise de risque doit être en adéquation avec votre projet, votre horizon de placement et votre capacité à perdre une partie de cette épargne. N’investissez pas si vous n’êtes pas prêt à perdre tout ou partie de votre capital.
Pour aller plus loin, lisez nos pages Situation Financière, Transparence du Média et Mentions Légales.
Journaliste chez Cryptoast, je suis tombée dans la marmite des cryptomonnaies depuis 2017. Je suis passionnée par les enjeux de décentralisation, de vie privée, et les retentissements globaux de ces nouvelles technologies.
Marine Debelloir
2937 articles
