Les utilisateurs des portefeuilles numériques Metamask et Phantom sont la cible d’une nouvelle vague massive d’attaques par hameçonnage qui ont permis de dérober au moins 500 000 USD en crypto-monnaies.
Une récente enquête de Check Point Research (CPR) a mis en garde contre une “campagne massive de phishing sur les moteurs de recherche” qui a entraîné des pertes de près d’un demi-million de dollars pour les utilisateurs de crypto-monnaies.
Selon le CPR, de “multiples événements” ont eu lieu ces derniers jours, au cours desquels des centaines d’utilisateurs de crypto-monnaies se sont fait voler leurs fonds en tentant de télécharger et d’installer des portefeuilles populaires, tels que Metamask ou Phantom. Les utilisateurs de plateformes d’échange décentralisées (DEX) populaires, telles que PancakeSwap ou Uniswap, ont également été victimes d’attaques.
Au cours du week-end dernier, Check Point Research a découvert des centaines d’incidents au cours desquels des investisseurs en crypto-monnaies ont perdu leur argent en essayant de télécharger et d’installer des portefeuilles de crypto-monnaies populaires ou d’échanger leurs pièces sur des plateformes d’échange de crypto-monnaies telles que PancakeSwap ou Uniswap.
Annonces frauduleuses de sites web sur Google
Selon l’enquête, les campagnes frauduleuses ont utilisé les annonces des moteurs de recherche – comme Google – pour cibler les utilisateurs de portefeuilles numériques. Ils ont ensuite utilisé de fausses URL et de faux sites Web pour permettre aux fraudeurs de voler les mots de passe des portefeuilles et d’accéder aux fonds en crypto-monnaies stockés dans ces portefeuilles, a déclaré le CPR.
Il convient de noter que dans les attaques de phishing, les cyberattaquants se font passer pour une personne, une entreprise, un site web ou une application de confiance afin de dérober des fonds.
Dans le cas particulier de la campagne signalée par le CPR, les pirates ont usurpé l’identité des plateformes de porte-monnaie Metamask et Phantom, ainsi que des sites Web PancakeSwap et Uniswap. Par exemple, pour Phantom, les attaquants ont utilisé des domaines de phishing tels que “phanton.app” ou “phantonn.app”, par opposition au domaine légitime : “phantom.app”.
Au cours du week-end dernier, les chercheurs du CPR ont détecté plusieurs sites Web de phishing qui ressemblaient au site Web d’origine, car les escrocs avaient copié son design.
Selon certains rapports, les imitations étaient si similaires qu’elles passaient inaperçues pour de nombreux utilisateurs, notamment les moins expérimentés. “Je viens d’installer le portefeuille fantôme et, d’une manière ou d’une autre, j’ai fini par télécharger l’arnaque”, a déclaré un utilisateur de Reddit citant la recherche, ajoutant : “Je suis plutôt nouveau dans les portefeuilles.”
Méfiez-vous des URL étranges
Le rapport donne également un exemple de la manière dont les cyber-escrocs ont utilisé une campagne publicitaire Google pour voler la clé privée des utilisateurs et accéder à leurs portefeuilles MetaMask. La clé privée, qui agit comme une sorte de clé maîtresse pour accéder aux fonds d’une adresse, a permis aux attaquants de voler les fonds.
Pour mener à bien ces attaques, les utilisateurs malveillants ont appliqué la même tactique avec MetaMask. Ils ont utilisé des domaines dont les noms sont très similaires à ceux du site légitime, tels que “MètaMask” ou “metamas.top”, et ont fait de la publicité pour les sites frauduleux sur des moteurs de recherche populaires tels que Google. Ainsi, lorsque les gens recherchaient des mots clés sur Internet, la première chose qui apparaissait était la publicité pour les sites frauduleux.
L’équipe de Check Point Research a noté que ce type d’attaque par hameçonnage était plus élaboré que d’habitude, précisément en raison des tactiques utilisées par les pirates qui ont profité des moteurs de recherche tels que Google pour positionner leurs arnaques.
Ce qui rend cette campagne d’hameçonnage unique, c’est que les escrocs n’envoient pas de liens d’hameçonnage par courrier électronique, comme c’est le cas dans les campagnes d’hameçonnage traditionnelles. Au lieu de cela, ils utilisent les campagnes publicitaires de Google pour que leurs sites de phishing apparaissent avant le site original lorsqu’une personne effectue une recherche par mot-clé.