Duo Nine, éducateur en cryptographie et créateur de la plateforme Your Crypto Community (YCC), a failli être victime d'une arnaque par usurpation d'identité le 30 septembre, selon un fil de discussion X du 1er octobre.

Les escrocs prétendaient être des dirigeants de la société de capital-risque ParaFi. Leur objectif était de convaincre Duo Nine de télécharger un « patch » qui permettrait à sa copie de Slack de fonctionner. En réalité, le « pilote » était probablement un logiciel malveillant, et les imitateurs tentaient de voler sa clé privée et de vider son portefeuille de cryptomonnaies de tout ce qu'il contenait.

Le partenaire de ParaFi, Kevin Yedid-Boton, a déclaré dans un article publié le 1er octobre que les escrocs ne sont pas associés à son entreprise et que les utilisateurs de crypto-monnaies ne devraient pas interagir avec les faux comptes.

« Hier soir, j'ai été victime de l'une des escroqueries d'ingénierie sociale les plus complexes que j'aie jamais vues, se faisant passer pour un membre du personnel de @paraficapital », a déclaré Duo Nine, ajoutant : « Si vous êtes dans le secteur des crypto-monnaies, vous êtes une cible. »

Il a expliqué qu'il avait été contacté sur X par une personne prétendant être Ryan Navi, directeur et responsable du capital-risque chez ParaFi Capital.

L'individu a déclaré qu'il représentait les protocoles Web3 Layer3, Polymarket, Zapper et Coin98. Ces protocoles recherchaient des « KOL » (leaders d'opinion clés) pour les aider à commercialiser leurs produits, a déclaré l'individu, laissant entendre qu'ils pourraient être intéressés par un partenariat avec Duo Nine.

Le message provient d'un compte vérifié sur X.

Duo Nine a répondu en demandant un e-mail depuis le domaine de l'entreprise ou un message privé depuis le compte X de l'entreprise.

La personne a refusé de lui fournir l’un ou l’autre de ces éléments, mais l’a renvoyé vers le site officiel de ParaFi, qui répertoriait « Ryan Navi » et plusieurs autres membres de l’équipe. La personne a également montré à Duo Nine que chaque membre de l’équipe avait un compte X vérifié et que tous ces comptes suivaient son compte. Selon Duo Nine, il a vu le refus de la personne de fournir une adresse e-mail comme un « signal d’alarme immédiat ». Malgré cela, il a « décidé de jouer le jeu ».

Conversation avec l'imitateur de ParaFi. Source : Duo Nine.

Après avoir échangé quelques messages avec lui, le supposé « Ryan Navi » a invité l'éducateur en cryptographie à une discussion de groupe Telegram avec lui-même et deux autres personnes prétendant être les membres de l'équipe ParaFi, Nicole Ferguson et Stephanie Ng.

Au cours de la conversation, les quatre personnes se sont mises d’accord sur les termes d’un nouveau partenariat. Cependant, à la dernière minute, « Nicole » a suggéré que les deux se rencontrent par appel audio pour régler les derniers détails. C’est à ce moment-là que le véritable objectif de la réunion a commencé à se dévoiler.

Récent : Les deux crypto-monnaies de World Record Egg sentent mauvais

Les membres supposés de l’équipe lui ont envoyé un lien Calendly authentique, qu’il a vérifié en inspectant l’URL. Grâce à ce lien, il a organisé une réunion avec eux. Cependant, ils l’ont averti que l’équipe utiliserait un serveur Slack pour organiser l’appel, ce qui signifiait qu’il devrait créer un compte Slack. Il a trouvé cette demande « curieuse » mais s’est quand même inscrit.

Lorsque Duo Nine a reçu le lien vers le serveur Slack de l’organisation, il l’a une nouvelle fois vérifié pour s’assurer qu’il provenait du bon nom de domaine — dans ce cas, Slack.com.

Effectivement, le lien menait bien à un sous-domaine du site officiel de Slack. Jusqu'à présent, le serveur semblait légitime.

Cependant, lorsque l'on a cliqué dessus, un message d'erreur s'est affiché. « Désolé ! Une erreur s'est produite, mais nous examinons la question », indiquait le message.

Message d'erreur du serveur d'usurpation d'identité. Source : Duo Nine.

Il a parlé du message d'erreur à « Nicole », et elle a demandé à « Ryan » ce qu'il en était. « Vous avez eu cette erreur la semaine dernière, non ? », aurait-elle demandé à l'autre membre supposé de l'équipe.

En réponse, « Ryan » a affirmé que la solution qu’il avait trouvée était de télécharger un « pilote » lié à une publication sur un forum Reddit.

Soupçonnant qu’on lui demandait de télécharger un logiciel malveillant, Duo Nine a refusé d’installer le « pilote ».

Au lieu de cela, il a de nouveau demandé aux individus d’envoyer un e-mail depuis le domaine ParaFi pour prouver qu’ils n’étaient pas des imposteurs.

En réponse, « Ryan » a envoyé un e-mail depuis paraficapital@outlook.com, indiquant le mauvais domaine outlook.com et prouvant qu'il n'avait probablement pas accès au domaine authentique, parafi.com.

À ce stade, le jeu était terminé. Duo Nine les a confrontés aux preuves contre eux, et ils ont répondu en supprimant leurs messages et en mettant fin à tout contact avec lui.

Dans la publication, Duo Nine a exhorté les utilisateurs à « sensibiliser » à cette arnaque et à d’autres similaires et à conserver leurs fonds dans des portefeuilles matériels pour une protection supplémentaire contre les logiciels malveillants.

ParaFi met en garde les utilisateurs contre les usurpateurs d'identité

Le 1er octobre, Yedid-Boton a publié un message sur X pour avertir la communauté crypto de l'arnaque. « ALERTE : FAUX COMPTES USURPRÉSENTANT L'ÉQUIPE DE @ParaFiCapital », a-t-il déclaré depuis son compte officiel.

D'après la publication, les usurpateurs « sont vérifiés auprès de @X et paient un abonnement, ce qui implique que ces escrocs s'attendent à tirer profit de ces faux comptes ! »

Les utilisateurs peuvent faire la distinction entre les vrais et les faux comptes ParaFi car le vrai a un badge jaune, et les vrais membres de l'équipe qui le suivent ont des badges « affiliés » prouvant qu'ils sont vraiment affiliés à l'entreprise, indique le message.

Yedid-Boton a suggéré que les utilisateurs ne devraient pas « interagir ou faire confiance aux publications, messages ou contenus » provenant de faux comptes.

Le message Reddit sur un malware présumé

Le message sur Reddit concernant un malware présumé provient de l'utilisateur u/andler_schust, dont le compte a été créé en mars. Le message a été créé le 22 octobre. Il renvoie vers Flaudriver, qui prétend être une application qui analyse l'ordinateur d'un utilisateur et vérifie s'il doit mettre à jour les pilotes.

L'application Web Flauidriver, qui serait un malware. Source : Flauidriver

Les applications d'analyse des mises à jour des pilotes nécessitent souvent que l'utilisateur approuve des autorisations étendues, ce qui rend leur utilisation extrêmement risquée. Les utilisateurs ne doivent généralement pas installer ces types d'applications, à moins qu'elles ne proviennent d'une source fiable. Cointelegraph n'a pas testé l'application pour déterminer s'il s'agissait d'un logiciel malveillant.

Selon la plateforme d'analyse de sites Web Scamvoid.net, Flauidriver a été publié le 20 octobre. Le message Reddit a été créé le 22 octobre, deux jours après la création du site.

Publication Reddit faisant la promotion de Flauidriver. Source : Reddit.

Les escroqueries par usurpation d'identité sont un problème courant dans la communauté crypto. Le 15 juin, la cofondatrice de Binance, Yi He, a publié plusieurs exemples de comptes frauduleux qu'elle a trouvés sur X et qui prétendaient être les siens, mais qui étaient en fait des imitateurs. Elle a cherché à sensibiliser le public au problème et à convaincre les dirigeants de X d'être plus vigilants dans le blocage de ces comptes.

Magazine : Bankroll Network DeFi piraté, un pirate de 50 millions de dollars déplace les crypto-monnaies sur CoW : Crypto-Sec

Le même jour, l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a averti que des escrocs se faisaient passer pour des employés du gouvernement afin de voler les crypto-monnaies des utilisateurs.