Les détenteurs de crypto-monnaie font face à de nombreux risques. Phishing, malwares, ingénierie sociale,… Les pirates ne manquent pas d’imagination lorsqu’il s’agit de trouver des ruses leur permettant de s’accaparer les précieux actifs numériques de leurs victimes.
Il convient donc, plus que jamais, de redoubler de vigilance.
D’autant plus que ces escroqueries se situent parfois là où on ne les attend pas.
Généralement, les utilisateurs pensent être à l’abri en téléchargeant une application référencée sur les App stores de Google et d’Apple. Ils sont nombreux à supposer que ces applications ont du faire l’objet de vérifications poussées avant d’y être références.
Mais c’est apparemment loin d’être le cas… et certains internautes en ont malheureusement fait les frais.
De fausses applications… mais de vraies conséquences
Si l’App Store et le Google Play Store sont tous deux susceptibles d’héberger des applications frauduleuses, il semblerait que les utilisateurs Android soient les premiers concernés.
L’un des cas les plus frappants ? Cette application, qui est parvenue à berner plusieurs milliers d’utilisateurs. Elle se fait passer pour l’application officielle d’une célèbre plateforme d’échange, Poloniex, en se présentant sous le nom de « Poloniex ® Offical App ».
On comprend que certains utilisateurs, qui auraient jeté un bref coup d’œil à l’application avant de cliquer sur le bouton « Installer », aient pu se faire avoir. Car au-delà du nom de l’application, on peut retrouver le logo officiel de Poloniex, ainsi que des captures d’écran issues de la plateforme d’échange.
Mais en regardant de plus près, on peut constater de nombreuses fautes de frappes, mais surtout une note moyenne étrangement faible – une seule et unique étoile, soit la moyenne laissée par 171 utilisateurs.
La majorité des internautes savent qu’ils doivent réfléchir à deux fois avant de cliquer sur un lien envoyé par e‑mail. Mais ils n’ont pas forcément l’habitude de faire preuve de tant de vigilance lorsqu’il installent une application mobile à partir d’une plateforme de confiance.
Si l’on s’en tient aux nombreux commentaires laissés par des utilisateurs en colère, la « Poloniex ® Offical App » semble n’avoir qu’un seul objectif : s’emparer des comptes de clients de Poloniex, et accéder ainsi à leur monnaie numérique.
À qui la faute ?
Mais cette application est loin d’être la seul à être frauduleuse – on retrouve au moins cinq application de ce type, portant le nom « Poloniex », sur la plateforme Google Play.
Le plus inquiétant, c’est peut-être le fait que deux d’entre elles (« Poloniex ® Offical App », mais également « « Poloniex – Bitcoin/Digital Asset Exchange ») soient parvenues à s’engouffrer dans le trio de tête des résultats de la recherche « poloniex » :
Si ces pirates se sont appuyés sur Poloniex, c’est avant tout parce que la plateforme ne propose pas d’application mobile officielle. Il est ainsi plus facile d’inciter les internautes à installer l’application litigieuse qu’ils ont développée.
Si Poloniex décidait un jour de créer sa propre application, comme l’on fait certains de ses concurrents comme Coinbase ou Bitfinex, cela permettrait sans doute de limiter fortement le nombre de téléchargement obtenus par ces applications litigieuses.
Mais on pourrait également se demander pourquoi Poloniex ne s’exprime pas officiellement au sujet de ces applications, qui visent pourtant ses propres clients. La société ne tweete que rarement, et n’a pas récemment évoqué ce type de problème :
Et l’on ne retrouve pas plus d’informations sur le site officiel :
Il est également possible d’évoquer la responsabilité du Play Store, qui pourrait supprimer ces logiciels – ou au moins expliquer aux utilisateurs comment éviter de télécharger de « fausses » applications.
De nombreux risques
Il semblerait que les escrocs étudient toutes les méthodes d’attaque possibles et imaginables – des méthodes qui pourraient leur permettre d’accroître leur patrimoine numérique aux dépens leurs victimes.
On sait que d’autres escroqueries, qui viendraient principalement d’Inde, consisteraient à offrir un faux support téléphonique à des clients de Coinbase et de Kraken. Celles-ci correspondent aux fameuses arnaques aux faux supports techniques, qui demandent aux utilisateurs d’appeler un numéro afin de « réparer » leur ordinateur – mais qui vont en fait chercher à obtenir certaines informations confidentielles.
Mais le problème ne se limite pas à l’écosystème des crypto-monnaies. De nombreux internautes ont ainsi téléchargé une fausse version de WhatsApp sur le Play Store. Dans le même temps, le malware Bankbot, qui vise à s’emparer des coordonnées bancaires de ses victimes, a été supprimé à deux reprises par Google, avant de réapparaître sous le nom de « Crypto currencies market prices ».
Faire preuve de vigilance
Les utilisateurs qui installent l’application d’une plateforme d’échange, une application de « suivi des prix » ou un portefeuille numérique sont priés d’utiliser les liens provenant des sites officiels correspondants. Il est ainsi déconseillé de se servir des moteurs de recherche du Play Store ou de l’App Store pour obtenir de telles applications.
Mais il faut faire attention… même lorsque l’on clique sur des liens proposés par un site « officiel ». Certains détenteurs de BTC, qui avaient cliqué sur un lien proposé sur le site officiel de Bitcoin Gold, ont été récemment victimes d’un vol de leur monnaie numérique. Ce lien les conduisait vers un wallet développé par un développeur tiers, qui visait à dérober leir monnaie numérique.
Par ailleurs, une société de sécurité, High-Tech Bridge, a récemment indiqué que plus de 90% des applications les plus populaires de crypto-monnaie, disponibles sur le Play Store, comporteraient des failles de de sécurité. Ainsi, 94% des applications n’utiliseraient pas de méthodes de chiffrement à jour, 66% n’en utiliseraient aucune, et 44% stockeraient des « hard-coded passwords » sous une forme « texte ».
Références : news.bitcoin.com, htbridge.com
Il faut aussi penser à CRYPTO BRIDGE qui est une PURE ARNAQUE pour voler vos sous !
Les dépôts se passent bien mais quand vous voulez retirer, la fenêtre de retrait est implicitement traffiqué pour berner l utilisateur ; l’adresse du receveur est mise en « commentaire » et l’argent est envoyé à CRYPTO BRIDGE directement.
Jamais vous ne verrez vos sous ! Aussi la plupart des coins sur cette plateforme sont de mèche !!!