Chatbots, célébrités et nouveau ciblage des victimes : Pourquoi les arnaques aux cryptomonnaies ont toujours autant de succès
Contributions éditoriales et additionnelles de Tricia Howard
Synthèse
Les chercheurs d'Akamai surveillent plusieurs kits d'arnaque aux concours offrant de gagner des cryptomonnaies qui usurpent l'identité de célébrités et de marques, notamment Elon Musk et ses entreprises. Ces arnaques sont diffusées par le biais de diverses plateformes de réseaux sociaux et d'applications de messagerie directe telles que WhatsApp ou Telegram.
Ces kits utilisent une multitude de techniques d'ingénierie sociale pour garantir leur succès, telles que des comptes à rebours, des fonctionnalités de chat en direct et des bots pour faciliter l'accès au « cadeau ».
D'après les adresses IP, la majorité des kits semblent provenir de Russie et d'autres régions d'Europe.
Certains kits comportaient une fonction permettant d'envoyer des remarques à l'attaquant avec des informations sur la victime ainsi que sur le site qu'elle a visité.
Bien que les spécifications techniques de la plupart de ces kits soient relativement simples, le niveau de détail des multiples aspects de ces escroqueries révèle pourquoi les arnaques aux cryptomonnaies continuent à être rentables.
Introduction
La lutte contre l'hameçonnage et les autres arnaques se poursuit depuis de nombreuses années. Des arnaques à l'amour aux escroqueries fiscales, les victimes peuvent changer, mais les principes sous-jacents des arnaques restent les mêmes qu'il y a 20 ans. Les victimes de l'hameçonnage sont exploitées par des personnes tentant de tirer parti de l'actualité, de situations personnelles et de réactions émotionnelles.
Malgré la sensibilisation importante du public, ces arnaques continuent de fonctionner. Les dommages causés par la seule fraude aux cryptomonnaies ont dépassé le milliard de dollars depuis 2021et l'on peut s'attendre à ce que ce chiffre augmente à mesure que les cryptomonnaies gagnent en popularité dans la société.
Depuis plusieurs années, les cryptomonnaies et les réseaux sociaux constituent un terrain fertile pour les escrocs. Des individus mal intentionnés peuvent créer de faux comptes pour se faire passer pour des marques, des célébrités et d'autres personnes de renom. Nous avons analysé un ensemble de kits d'arnaque qui ont réussi à dérober des cryptomonnaies à des victimes pleines d'espoir en se faisant passer pour des personnes et des marques connues, et nous avons dressé une liste de choses à faire pour éviter d'être victime d'une arnaque aux concours offrant de gagner des cryptomonnaies. Dans ce billet, nous explorerons également ces kits d'arnaque d'un point de vue technique afin d'encourager la prise de conscience.
Qu'est-ce qu'une arnaque aux cryptomonnaies ?
Les arnaques aux cryptomonnaies sont une forme de fraude qui s'appuie sur les réseaux sociaux et les campagnes d'hameçonnage pour gagner la confiance des amateurs de cryptomonnaie en leur promettant des concours très lucratifs. Une méthode courante consiste à se faire passer pour des personnalités disposant d'importantes ressources financières, telles qu'Elon Musk, qui jouit d'une grande popularité et d'une présence reconnue au sein de la communauté des cryptomonnaies.
Plusieurs actions contribuent à donner à ces arnaques une apparence de légitimité : la prise en compte de la popularité de la devise à un moment donné, l'utilisation illégitime de noms et de marques connus, le détournement de comptes YouTube, la création de fausses devises, et même l'organisation de réunions en face à face.
Comment les arnaques aux cryptomonnaies fonctionnent-elles ?
Bien que le vecteur d'attaque varie, la méthode de base de l'arnaque est la même : attirer une victime sur le site du kit et la convaincre de transférer des cryptomonnaies dans le portefeuille de l'escroc.
Exécution de l'arnaque
Ces arnaques sont plus ou moins élaborées. La méthode la plus courante consiste à utiliser des plateformes de réseaux sociaux telles que Twitter, Telegram et YouTube. Cette tactique, ainsi que les progrès réalisés par les attaquants en matière d'ingénierie sociale, leur permettent d'atteindre un large public et d'augmenter leurs chances de réussite.
L'idée est d'instaurer une confiance suffisante auprès de la victime visée pour qu'elle n'essaie pas de vérifier par elle-même la légitimité de l'opération.
La Figure 1 en donne un exemple. Cette capture d'écran donne l'impression que la personne dont l'identité est usurpée (Elon Musk) a légitimement approuvé le lien proposé par l'escroc. Un simple coup d'œil au compte Twitter prouverait que ce n'est pas le cas, d'où les efforts déployés pour empêcher la ou les victimes visées de faire cette démarche.
Figure 1 : Fausse capture d'écran d'un tweet feignant la légitimité d'une arnaque à la cryptomonnaie
Les escrocs ont également l'habitude de répondre à de longs fils de discussion lancés par l'entité légitime afin d'attirer des victimes potentielles. Même si le tweet initial n'avait rien à voir avec la cryptomonnaie, étant donné que l'entité usurpée a une implication reconnue dans ce domaine, il est logique que les personnes qui la suivent puissent également s'y intéresser. Répondre à un tweet légitime a deux objectifs : diffuser largement l'information en s'appuyant sur les nombreux abonnés et feindre d'être associé à l'entité en question (Figure 2).
Figure 2 : Exemples de tweets qui alimentent l'arnaque
Il est également courant de voir ces arnaques perpétrées par l'intermédiaire de plateformes de messagerie directe, telles que WhatsApp ou Telegram. Il existe sur ces applications de vastes groupes aux intérêts variés, et la cryptomonnaie est un sujet populaire. Les attaquants s'infiltrent dans ces groupes et publient des liens frauduleux en se faisant passer pour un participant, la personne célèbre associée ou un de ses proches (Figure 3). Ces liens peuvent sembler tout à fait légitimes ; certains d'entre eux ont même des bots conçus pour « faciliter la participation ».
Figure 3 : Exemples d'arnaques perpétrées par WhatsApp et Telegram
Sites de kits d'arnaque
Grâce à l'ingénierie sociale et à la promesse d'une grosse somme en cryptomonnaie, les acteurs malveillants ont rendu ces arnaques très lucratives. Les attaquants s'appuient sur des informations connues du secteur, telles que la popularité des devises, les célébrités ou autres personnalités connues, et l'affiliation à des organisations spécifiques, pour créer des kits d'hameçonnage très réalistes (Figure 4).
Figure 4 : Exemple de site de kit d'arnaque à la cryptomonnaie
Ces sites sont conçus pour instaurer un climat de confiance avec la personne qui les consulte. Comme le montre la Figure 4, à l'exception d'un anglais légèrement approximatif, ces sites ont l'air légitimes. On est loin des arnaques par courrier électronique en texte brut du passé. Ces kits disposent même d'une « assistance technique » par chatbot en direct pour aider les utilisateurs à « participer au concours ».
Entre l'imitation visuellement agréable des pages d'accueil des campagnes de marketing légitimes, la pression induite par la peur de manquer une opportunité que provoque le « compte à rebours en temps réel » et l'« approbation » de la célébrité concernée, le niveau de détail pour assurer le succès de l'arnaque indique à quel point elle est lucrative.
Une personne avertie peut détecter immédiatement une arnaque. Pourtant, il est facile pour un utilisateur lambda des réseaux sociaux de tomber dans le panneau. L'arnaque elle-même est conçue pour instaurer la confiance. Le kit nécessite une « authentification » pour s'assurer que la personne ne participe qu'une seule fois au concours. La victime envoie de la cryptomonnaie en pensant qu'elle sera immédiatement remboursée une fois la phase d'authentification terminée. L'attaquant subtilise alors l'argent et passe à la victime suivante une fois l'authentification terminée.
Analyse technique de l'un des kits d'arnaque distribués sur le Dark Web
Bien que l'aspect de ces kits soit très raffiné, le code qui les sous-tend est assez simple. Les kits que nous avons observés présentaient des différences au niveau des fonctionnalités, mais ils étaient tous relativement simples au niveau du backend. Ils contiennent un mélange de HTML et de JavaScript, avec les éléments suivants :
Un script qui initialise et configure le service Smartsupp Live Chat sur le site Web (Figure 5),
Deux entrées cachées qui contiennent les valeurs des adresses Bitcoin et Ethereum,
Des éléments HTML pour le style et l'affichage, y compris une iframe affichant un widget de cryptomonnaie de « coinlib.io » fournissant une certaine forme d'authenticité à la page affichant des données en direct.
Certains des kits analysés incluent également la collecte d'informations sur la victime et une connexion push vers un canal Telegram appartenant à l'attaquant. Il s'agit probablement d'une méthode pour cibler à nouveau la victime avec d'autres arnaques.
Figure 5 : Un widget Smartsupp
Figure 6 : Code d'un bot Telegram
Comme vous pouvez le voir dans la Figure 6, l'attaquant utilise l'attribution des informations de l'API IP et les transmet à son bot Telegram. Remarquez le message en russe, qui se traduit par « Visité via le site Web de Tesla. ».
Nous avons examiné les adresses Bitcoin et Ethereum incluses dans le kit, qui ont probablement été utilisées pour recevoir des paiements de la part des victimes. Comme vous pouvez le voir dans les figures 7 et 8, les portefeuilles affichent plusieurs petites transactions de fonds acceptées pour un total de 0,3 BTC (0,31 ETH au moment de la vérification).
Figure 7 : Capture d'écran du portefeuille de bitcoins du kit d'arnaque aux cryptomonnaies
Figure 8 : Représentation visuelle de plusieurs transactions de cryptomonnaie dans un portefeuille frauduleux
La présence du service Smartsupp Live Chat est une fonctionnalité qui a gagné en popularité ces derniers mois avec ces kits d'arnaque. Elle est utilisée pour indiquer (faussement) que le propriétaire du site Web cherche à fournir une assistance à la clientèle, ce qui peut renforcer la confiance des utilisateurs. Même si les victimes n'utilisent pas le service, sa seule présence renforce inconsciemment la confiance. De nos jours, les chatbots ou le chat en direct constituent une méthode de communication courante avec les visiteurs d'un site. Il semblerait donc suspect qu'une entreprise prétendant être Tesla ne dispose pas d'un service similaire sur son site. Cela est d'autant plus vrai si la victime visée a visité un site légitime, qui dispose d'une fonction de chat.
Un autre élément particulièrement intéressant de certains de ces kits est l'envoi des informations de la victime à l'attaquant, avec une remarque sur le site visité. Cela peut signifier que les attaquants organisent plusieurs arnaques et cherchent à « se constituer une base de clients ». Ils peuvent ensuite cibler à nouveau ces victimes avec d'autres arnaques ou transmettre leurs informations à d'autres acteurs malveillants. En outre, ils peuvent assurer le suivi de ces sites d'arnaque pour déterminer lesquels sont les plus lucratifs. Ces arnaques reposent sur l'imitation de pratiques commerciales légitimes, il est donc logique qu'elles imitent également celle-ci.
Kits d'attaquants réellement détectés
D'après leurs adresses IP, la plupart des kits d'arnaque observés proviennent d'Europe, avec une concentration en Russie (Figure 9). Bien que cette méthode ne permette pas de confirmer l'origine des attaques, elle est en corrélation avec d'autres cyberactivités observées dans cette région. Plusieurs attaques semblent également provenir des Pays-Bas, d'Autriche, d'Italie, d'Allemagne et d'Ukraine, comme le montrent nos sources de données internes et des outils d'analyse populaires tels que Shodan.io.
Figure 9 : La plupart des kits d'arnaque que nous avons observés provenaient d'Europe, avec une concentration en Russie
Échantillon du kit en action
https://tesla-show{.}net
https://elongivex{.}space
https://teslaevent{.}tech
https://tesla-m{.}com
https://spaceX-crew6{.}com
Comment éviter d'être victime d'une arnaque aux cryptomonnaies ?
Ces kits d'arnaque continueront à faire surface tant qu'ils auront du succès. La vigilance envers ces sites illégitimes est le seul moyen de s'assurer que vous n'en serez pas victime. La capacité à repérer les arnaques aux concours offrant de gagner des cryptomonnaies, comme celles de la Figure 10, est un outil essentiel de votre arsenal. Plusieurs signaux d'alerte peuvent vous aider.
AUCUN cadeau n'est gratuit ! Faites preuve d'une extrême prudence lorsque vous consultez un site qui prétend offrir quelque chose gratuitement. Même sur les sites légitimes, aucun cadeau n'est vraiment gratuit. Si cela semble trop beau pour être vrai, c'est effectivement le cas.
N'envoyez pas de cryptomonnaies à une personne que vous ne connaissez pas : Si quelqu'un sur les réseaux sociaux vous promet une récompense en échange de cryptomonnaies, n'en faites rien. Il s'agit probablement d'une arnaque.
Vérifiez plusieurs fois l'état de vérification d'un compte : Les récents changements concernant la vérification sur Twitter ont rendu plus difficile la distinction entre une entité légitime et une entité illégitime sur cette plateforme. La coche bleue ne suffit pas à elle seule, mais c'est un bon point de départ. Vous en apprendrez plus sur la politique de vérification de Twitter sur son site Web.
Vérifiez le nom d'utilisateur : Une recherche rapide sur la célébrité dont l'identité a été usurpée + « réseaux sociaux » permet de trouver son compte officiel. Si le nom d'utilisateur du compte officiel diffère de celui de la personne qui interagit avec vous, il s'agit d'un faux.
Le compte est nouveau : Les célébrités ont des comptes actifs sur les réseaux sociaux depuis des années. Si le compte que vous consultez est tout nouveau, il s'agit probablement d'un faux.
Faites des recherches : Il existe des concours légitimes, mais il est toujours préférable de vérifier. Une offre légitime émanant d'une entité de cette taille devrait faire l'objet de plusieurs communiqués de presse et articles. Si ce n'est pas le cas, il s'agit probablement d'une arnaque. Vous pouvez également rechercher le compte ou le numéro de téléphone sur Google et découvrir si d'autres personnes l'ont signalé comme une arnaque.
Si vous tombez sur une arnaque de ce type, signalez-la à la plateforme et aux autorités. En signalant la fraude, vous empêcherez d'autres personnes de tomber dans le panneau.
Figure 10 : Autres exemples de pages d'arnaque aux cryptomonnaies
Conclusion
Les arnaques aux concours offrant de gagner des cryptomonnaies sont un problème croissant sur les réseaux sociaux. Elles s'appuient sur deux facteurs émotionnels majeurs : La peur de manquer une opportunité et la perspective d'un gain financier important, susceptible de bouleverser toute une vie. Associées à des tactiques d'ingénierie sociale sophistiquées, ces arnaques peuvent amener les internautes à ne pas tenir compte des enseignements relatifs à la vigilance en ligne.
Toutefois, lorsqu'ils sont examinés de près, ces kits peuvent être relativement faciles à repérer. Pour éviter de tomber dans le piège de ces arnaques et préserver la sécurité de vos cryptomonnaies, il est essentiel de rester informé des nouvelles méthodes et mesures employées par les acteurs malveillants. N'oubliez pas : Si cela semble trop beau pour être vrai, c'est effectivement le cas !
En savoir plus
Les chercheurs d'Akamai sont constamment à l'affût de ces types d'arnaques et d'autres activités malveillantes. Pour vous tenir informé des recherches les plus récentes dans tous les domaines de la sécurité, suivez-nous sur Twitter.
Indicateurs de compromission :
