La semaine dernière, des criminels ont mis en place une arnaque au phishing visant les utilisateurs de la plateforme MyEtherWallet, un portefeuille Ethereum accessible depuis un navigateur. Ils ont ainsi pu récolter plus de 15 000 dollars en seulement quelques heures.
Le 24 octobre, Wesley Neelen, un chercheur en sécurité se présentant comme un « white hat hacker », a révélé qu’il avait été la cible d’une arnaque au phishing. Il avait ainsi reçu un e‑mail lui indiquant que MyEtherWallet devait implémenter une mise à jour « hard fork » :
Received a MyEtherWallet phishing e‑mail on a e‑mail address only submitted to a @kin_foundation mailinglist. Huh ? pic.twitter.com/FmuswrZMn2
— Wesley (@wez3forsec) 24 octobre 2017
Pour pouvoir mettre à jour leurs portefeuille, l’e-mail précise que les utilisateurs devaient :
- débloquer leur compte grâce à leur Keystore ou à leurs clés privées
- synchroniser leur portefeuille
- puis vérifier combien d’Ethers et de tokens celui-ci contenait
En suivant ces différentes recommandations, un utilisateur exposait l’accès à son portefeuille par les pirates, tout en leur fournissant des informations concernant les sommes qu’il pouvait contenir.
Ceux-ci semblent avoir redoublé d’efforts pour faire en sorte que le site d’hameçonnage puisse ressembler trait pour trait à celui de MyEtherWallet.com :
La seule différence notable avec le site officiel se trouve dans l’URL. On peut voir que le « t » du mot wallet ne ressemble pas tout à fait à un « t ». En effet, l’adresse correspond à un nom de domaine unicode :
Lorsqu’un utilisateur cliquait sur le lien présent dans l’e-mail et suivait les instructions, les hackers pouvaient obtenir l’accès à son portefeuille d’Ethers, leur offrant ainsi la possibilité de transférer la crypto-monnaie vers leur propre portefeuille.
Même si le site avait l’air convaincant, Wesley Neelan n’est pas tombé dans le piège.
Selon l’expert en sécurité informatique, les pirates seraient parvenus à obtenir son adresse e‑mail à partir d’une mailing liste. Il avait utilisé une seule fois cet e‑mail : c’était pour participer à une ICO, celle de la Kin Foundation.
Il a donc commencé à s’intéresser au site en question. Avec l’aide de l’un de ses collègues, Rik Van Duijn, il a pu récupérer une liste de tous les portefeuilles sur lesquels les hackers avaient pu mettre la main grâce à leur escroquerie.
La plus grosse prise des hackers correspondait à un wallet contenant 42,5 ETH, soit plus de 13 000 dollars lors de la rédaction de l’article.
Wesley Neelan estimé le montant total dérobé à 52,56 ETH, soit plus de 16 000 dollars. Ces fonds ont été ensuite transférés par les hackers vers trois adresse différentes.
L’homme déclare avoir contacté le « registrar » (bureau d’enregistrement) du nom de domaine que les hackers ont utilisé. Il explique toutefois qu’il n’est pas certains que celui-ci obtempère. Il a également alerté les autorités.
Lors de la rédaction de l’article, le site renvoyait une erreur 404.
Référence : CoinJournal
