Cybercriminalite Phishing

Des hackers parviennent à obtenir plus de 15 000 $ en Ethers grâce à une arnaque au phising

Hameçonnage sur MyEtherWallet

La semaine der­nière, des cri­mi­nels ont mis en place une arnaque au phi­shing visant les uti­li­sa­teurs de la pla­te­forme MyE­ther­Wal­let, un por­te­feuille Ethe­reum acces­sible depuis un navi­ga­teur. Ils ont ain­si pu récol­ter plus de 15 000 dol­lars en seule­ment quelques heures.

Le 24 octobre, Wes­ley Nee­len, un cher­cheur en sécu­ri­té se pré­sen­tant comme un « white hat hacker », a révé­lé qu’il avait été la cible d’une arnaque au phi­shing. Il avait ain­si reçu un e‑mail lui indi­quant que MyE­ther­Wal­let devait implé­men­ter une mise à jour « hard fork » :

Pour pou­voir mettre à jour leurs por­te­feuille, l’e-mail pré­cise que les uti­li­sa­teurs devaient :

  • déblo­quer leur compte grâce à leur Keys­tore ou à leurs clés pri­vées
  • syn­chro­ni­ser leur por­te­feuille
  • puis véri­fier com­bien d’E­thers et de tokens celui-ci conte­nait

En sui­vant ces dif­fé­rentes recom­man­da­tions, un uti­li­sa­teur expo­sait l’ac­cès à son por­te­feuille par les pirates, tout en leur four­nis­sant des infor­ma­tions concer­nant les sommes qu’il pou­vait conte­nir.

Ceux-ci semblent avoir redou­blé d’ef­forts pour faire en sorte que le site d’hameçonnage puisse res­sem­bler trait pour trait à celui de MyEtherWallet.com :

Phishing Ethereum

La seule dif­fé­rence notable avec le site offi­ciel se trouve dans l’URL. On peut voir que le « t » du mot wal­let ne res­semble pas tout à fait à un « t ». En effet, l’a­dresse cor­res­pond à un nom de domaine uni­code :

Domaine hacker phishing

Lors­qu’un uti­li­sa­teur cli­quait sur le lien pré­sent dans l’e-mail et sui­vait les ins­truc­tions, les hackers pou­vaient obte­nir l’ac­cès à son por­te­feuille d’E­thers, leur offrant ain­si la pos­si­bi­li­té de trans­fé­rer la cryp­to-mon­naie vers leur propre por­te­feuille.

Même si le site avait l’air convain­cant, Wes­ley Nee­lan n’est pas tom­bé dans le piège.

Selon l’ex­pert en sécu­ri­té infor­ma­tique, les pirates seraient par­ve­nus à obte­nir son adresse e‑mail à par­tir d’une mai­ling liste. Il avait uti­li­sé une seule fois cet e‑mail : c’é­tait pour par­ti­ci­per à une ICO, celle de la Kin Foun­da­tion.

Il a donc com­men­cé à s’in­té­res­ser au site en ques­tion. Avec l’aide de l’un de ses col­lègues, Rik Van Dui­jn, il a pu récu­pé­rer une liste de tous les por­te­feuilles sur les­quels les hackers avaient pu mettre la main grâce à leur escro­que­rie.

La plus grosse prise des hackers cor­res­pon­dait à un wal­let conte­nant 42,5 ETH, soit plus de 13 000 dol­lars lors de la rédac­tion de l’ar­ticle.

Wes­ley Nee­lan esti­mé le mon­tant total déro­bé à 52,56 ETH, soit plus de 16 000 dol­lars. Ces fonds ont été ensuite trans­fé­rés par les hackers vers trois adresse dif­fé­rentes.

L’homme déclare avoir contac­té le « regis­trar » (bureau d’en­re­gis­tre­ment) du nom de domaine que les hackers ont uti­li­sé. Il explique tou­te­fois qu’il n’est pas cer­tains que celui-ci obtem­père. Il a éga­le­ment aler­té les auto­ri­tés.

Lors de la rédac­tion de l’ar­ticle, le site ren­voyait une erreur 404.

Réfé­rence : Coin­Jour­nal




[wpcrypto_list]