Pourriez-vous repérer une arnaque par phishing si elle se présentait lors de votre prochaine rencontre ? Découvrez comment la tromperie de Lainchain a surpris les professionnels à Paris.

Table des matières

  • Un piège crypto à Paris

  • Comprendre les escroqueries par phishing et leurs variantes

  • Comment fonctionne l'arnaque

  • Résultats de l’enquête technique

  • Fausses identités et ingénierie sociale

  • Analyse de Telegram et des réseaux sociaux

  • Violations de données et activité sur le dark web

  • Se protéger dans le monde des crypto-monnaies

Un piège crypto à Paris

Le 3 décembre au soir, une rencontre entre freelances a eu lieu au Café Oz à Paris, attirant des personnes de divers secteurs d'activité pour réseauter et échanger des idées. Parmi les participants figurait Scott Horlacher, ingénieur et développeur en logiciel.

La soirée a pris un tournant inhabituel avec l'arrivée de deux individus. L'un était bien habillé, se présentant comme un avocat s'occupant de la partie commerciale, tandis que l'autre, un individu plus jeune et au look rugueux, s'est présenté comme Leo, un développeur. Ensemble, ils ont affirmé représenter une nouvelle plateforme d'échange crypto appelée Lainchain.

La discussion de Horlacher avec eux a commencé de manière innocente. « Nous parlions en français », a expliqué Scott, notant que le développeur, qui s'est présenté sous le nom de Leo, a décrit Lainchain comme une application Python Flask. Cependant, les réponses aux questions techniques de Scott ont soulevé des drapeaux rouges.

« Je lui posais des questions sur la couche de règlement, comme, comment les transactions sont-elles traitées et réglées sur votre échange ou votre plateforme ? »

Le fondateur de Lainchain a rétorqué : « vous connectez simplement votre MetaMask, et vous l'envoyez directement. » À ce moment-là, les soupçons de Horlacher ont augmenté. Lorsque Horlacher a visité Lainchain.com, le problème est devenu évident. « Je suis allé à la section d'inscription, et c'est alors que j'ai réalisé que, oh là là, ce gars est une escroquerie », a-t-il dit.

« La page d'inscription contient un générateur de phrase de récupération de portefeuille directement. Clairement, l'échange gère vos clés privées, et à tout moment, c'est un risque pour la sécurité. La personne est soit vraiment stupide pour avoir développé la plateforme, soit c'est un escroc. Et je pense qu'il est plus probable qu'il soit un escroc. »

Après avoir confronté le couple au sujet du problème, leur confiance s'est effondrée. Ils ont quitté l'événement peu après, laissant Horlacher et d'autres reconstituer l'escroquerie, avertissant les autres présents.

Déterminé à comprendre cette rencontre suspecte, crypto.news s'est associé à AMLBot, une entreprise de conformité et d'analyse des blockchains. Ce qui a suivi était une enquête approfondie qui a exposé Lainchain pour ce qu'elle était vraiment : une escroquerie de phishing soigneusement orchestrée.

Cet article décompose les résultats de cette enquête et examine comment l'escroquerie a fonctionné, quels signes d'avertissement surveiller et, surtout, comment vous pouvez vous protéger contre des schémas similaires à l'avenir.

Comprendre les escroqueries de phishing et leurs variations

Avant d'explorer plus en profondeur le problème de Lainchain, il est important de comprendre les types d'escroqueries de phishing qui existent et comment elles ciblent les victimes, en particulier dans les secteurs financier et crypto.

Les escroqueries de phishing utilisent la tromperie pour inciter les individus à révéler des informations sensibles telles que des mots de passe, des phrases de récupération ou des identifiants de portefeuille. Contrairement au piratage direct, le phishing repose sur l'ingénierie sociale, faisant des victimes des participants involontaires à leur propre exploitation.

Selon Statista, en 2023, 27,32 % des cyberattaques mondiales étaient des attaques de phishing financier, en baisse par rapport à 36,3 % en 2022 et 41,8 % en 2021.

Part des attaques de phishing financier dans le monde de 2016 à 2023 | Source : Statista

De plus, en 2023, le Centre de plaintes pour crimes informatiques du Federal Bureau of Investigation a signalé plus de 69 000 plaintes liées à la fraude financière impliquant des crypto-monnaies. Les pertes estimées ont dépassé 5,6 milliards de dollars, affectant des actifs tels que Bitcoin (BTC), Ethereum (ETH) et Tether (USDT).

Les escroqueries de phishing prennent souvent ces formes :

  • Phishing par e-mail : Des e-mails génériques usurpent des entités de confiance, telles que des échanges, incitant les utilisateurs à cliquer sur des liens malveillants ou à partager des détails de connexion.

  • Spear phishing : Des escroqueries hautement ciblées personnalisent des messages en fonction de victimes spécifiques, se faisant souvent passer pour des membres de l'équipe ou des partenaires pour établir la confiance.

  • Clone phishing : De faux sites Web ou applications, comme Lainchain, imitent des sites légitimes, trompant les utilisateurs pour qu'ils saisissent leurs identifiants ou connectent leurs portefeuilles.

  • Phishing sur les réseaux sociaux : Les escrocs sur des plateformes comme Telegram ou Twitter se font passer pour des influenceurs, du personnel de soutien ou des représentants de projets, incitant les victimes avec de fausses promesses ou offres d'investissement.

  • Phishing basé sur des logiciels malveillants : Des applications ou des liens malveillants infectent des appareils, capturant des données sensibles telles que des phrases de récupération, des clés privées et des identifiants.

Le phishing dans la crypto est particulièrement dangereux en raison de la nature irréversible des transactions sur la blockchain - une fois les fonds transférés, ils ne peuvent pas être récupérés. Comprendre ces tactiques est essentiel pour les éviter.

Reconnaître les signes d'avertissement et adopter des pratiques de sécurité de base, telles que l'authentification à deux facteurs et la vérification des sources, sont des étapes cruciales pour protéger vos actifs numériques.

Comment l'escroquerie fonctionne

Selon les enquêteurs d'AMLBot, Lainchain se présentait comme un échange crypto légitime mais était truffé de défauts fondamentaux qui exposaient sa vraie nature. L'interface de la plateforme était loin d'être professionnelle, présentant un design rudimentaire qui démentait ses affirmations audacieuses.

Page d'atterrissage de lainchain.com, 19 déc. 2024.

La tromperie a commencé par une demande apparemment routinière invitant les utilisateurs à connecter leurs portefeuilles MetaMask pour accéder aux services de la plateforme. L'intégration de portefeuilles est une fonctionnalité courante dans les applications basées sur la blockchain, mais Lainchain a manipulé ce processus. Au lieu d'une demande d'autorisation standard, les utilisateurs étaient invités à saisir leurs phrases de récupération - une pratique qu'aucune plateforme légitime ne cautionnerait, suscitant des soupçons qu'elle agissait comme une escroquerie de phishing.

La page d'inscription de lainchain.com, où les utilisateurs sont invités à fournir leur phrase de récupération, 19 déc. 2024.

Les enquêteurs ont souligné que cette tactique remettait effectivement le contrôle des portefeuilles des utilisateurs aux escrocs. Avec accès aux clés privées, les auteurs pouvaient transférer librement des fonds sans détection ni interférence.

Au-delà du vol direct, Lainchain a employé des stratégies psychologiques pour approfondir son exploitation. Les victimes étaient attirées par des promesses de retours extraordinaires et encouragées à déposer davantage de fonds pour « débloquer un potentiel maximal ».

Lorsque les utilisateurs ont essayé de retirer, ils ont rencontré des obstacles fabriqués tels que des demandes de « frais de transaction » ou de « frais de vérification », qui ne servaient qu'à siphonner plus d'argent.

L'enquête a également révélé que Lainchain collectait des données personnelles lors de l'inscription, y compris des adresses e-mail et des détails de portefeuille liés. Ces informations étaient probablement monétisées, vendues sur des marchés du dark web et utilisées pour des campagnes de phishing ou d'autres formes de vol d'identité.

Résultats de l'enquête technique

Les enquêteurs d'AMLBot ont utilisé des techniques d'intelligence open source pour démêler les opérations trompeuses de Lainchain. Une percée critique est venue de l'analyse des détails d'enregistrement du domaine lainchain.com.

Le domaine, enregistré via HOSTINGER - un registraire à bas prix souvent exploité par des escrocs - a été configuré avec des paramètres de confidentialité pour obscurcir l'identité du propriétaire.

Cette anonymité délibérée est une caractéristique des opérations de cybercriminalité. Enregistré le 30 janvier 2023 et mis à jour le 30 octobre 2024, le calendrier du domaine indiquait une fenêtre prolongée pour escroquer des victimes.

Une enquête plus approfondie a montré que le site Web était hébergé sur des serveurs à Helsinki, en Finlande, sous Hetzner Online GmbH, un fournisseur d'hébergement réputé pour ses services axés sur la confidentialité et abordables. Bien que légitimes, ces services attirent souvent de mauvais acteurs à la recherche d'un couvert.

Les enquêteurs ont également constaté que Lainchain n'était pas une escroquerie isolée mais faisait partie d'un réseau de plateformes frauduleuses comme Rawkchain et Staxeblock, toutes construites sur des bases de code presque identiques.

Des commentaires intégrés dans le code source HTML de Lainchain ont explicitement référencé Rawkchain, confirmant que les sites étaient des clones. Cette tactique a permis aux escrocs de rebrander et de relancer après une exposition, continuant à tromper les utilisateurs.

L'analyse du certificat SSL a encore lié Lainchain à un domaine suspect, finalsolutions.com.pk, laissant entendre un réseau plus large de phishing ou de blanchiment de fonds volés. De plus, les recherches inversées sur les IP et l'analyse DNS ont révélé des serveurs partagés avec d'autres plateformes douteuses, exposant sa dépendance à un hébergement bon marché et à des efforts minimaux.

Les enquêteurs ont conclu que Lainchain exemplifiait un modèle d'escroquerie évolutif, à faible coût et à forte récompense, exploitant l'anonymat et des raccourcis techniques pour s'attaquer aux utilisateurs.

Identités fausses et ingénierie sociale

Un des aspects les plus alarmants de l'escroquerie de Lainchain était son utilisation calculée d'identités volées et de preuves sociales fabriquées pour établir la confiance et attirer les victimes.

Selon les enquêteurs, le site Web de Lainchain affichait en évidence des images de prétendus membres de l'équipe, dirigeants et fondateurs, accompagnées de titres impressionnants et de biographies professionnelles.

Cependant, les enquêteurs ont révélé que beaucoup de ces images avaient été volées lors d'événements publics sur la blockchain et sur des profils de réseaux sociaux. Les escrocs ont réutilisé des photos d'individus non méfiants, les présentant faussement comme l'équipe dirigeante de Lainchain.

Dans un exemple frappant, l'image d'un politicien russe bien connu a été utilisée pour fabriquer l'identité d'un dirigeant. D'autres photos provenant de professionnels sans lien ont été associées à de fausses références pour renforcer l'illusion de crédibilité.

La tromperie s'est étendue au-delà du site Web. Sur des plateformes comme Trustpilot, Lainchain a montré de nombreux avis élogieux, louant son interface conviviale, sa sécurité robuste et sa rentabilité.

Cependant, une analyse plus approfondie a révélé que ces avis étaient faux, provenant de comptes nouvellement créés ou suspects. Beaucoup de ces profils avaient des antécédents d'avis sur d'autres plateformes frauduleuses, telles que Rawkchain et Staxeblock.

Cette combinaison d'identités volées, de présence en ligne fabriquée et de témoignages éclatants mais faux a créé une façade sophistiquée, incitant les victimes à faire confiance à la plateforme, les laissant vulnérables à des pertes financières et à d'autres exploitations.

Analyse de Telegram et des réseaux sociaux

Les fonctionnalités de confidentialité et de convivialité de Telegram en ont fait une plateforme prisée par les communautés crypto - et pour des escroqueries comme Lainchain. Les enquêteurs ont découvert que Telegram était central à l'opération, servant de plaque tournante pour promouvoir la plateforme frauduleuse et se connecter avec les victimes.

Les escrocs ont opéré un groupe de soutien privé où des comptes comme Arin_lainchain et DanbenSpencer se faisaient passer pour des administrateurs utiles. Ils partageaient du contenu promotionnel et dirigeaient les utilisateurs vers de faux représentants de soutien.

Une erreur a révélé un autre compte clé, Lucifer3971, que les enquêteurs ont lié à des activités de marché noir, y compris le commerce de données volées. Alors que d'autres comptes étaient abandonnés, Lucifer3971 est resté actif, fournissant des pistes critiques.

Au sein du groupe, les escrocs ont également créé l'illusion de légitimité en utilisant de faux comptes pour simuler de l'activité. Ces comptes posaient des questions, partageaient des avis élogieux et discutaient de faux retraits, rendant le groupe apparemment fiable. Les modérateurs accueillaient les nouveaux membres avec des messages scriptés et publiaient des histoires de réussite fabriquées pour tromper encore plus les victimes.

Le schéma s'est étendu au-delà de Telegram. Sur Facebook, les escrocs ont infiltré des groupes crypto et freelance avec de faux profils pour promouvoir Lainchain. Sur Twitter, ils ont utilisé des bots et des témoignages fabriqués pour amplifier leur message, créant une illusion de crédibilité et de confiance.

Violations de données et activités sur le dark web

L'escroquerie de Lainchain a étendu son exploitation au-delà du vol de fonds, ciblant les données personnelles des victimes pour générer des profits supplémentaires. Les enquêteurs ont découvert que des informations sensibles étaient canalisées dans des fuites de données à grande échelle et vendues sur des marchés du dark web.

Un dépôt majeur lié à ce réseau était naz.api, une base de données notoire pour héberger des données d'utilisateur volées provenant de schémas de phishing, d'attaques de logiciels malveillants et d'exploits de navigateurs.

Une recherche sur naz.api a révélé de nombreux dossiers compromis liés à Lainchain, y compris des adresses e-mail, des numéros de téléphone, des mots de passe et d'autres détails privés.

L'enquête a également identifié des journaux de voleurs liés à Lainchain. Ces journaux, largement échangés sur le dark web, fournissaient des instantanés détaillés des sessions de navigation des victimes, y compris des identifiants enregistrés, des données de remplissage automatique et des captures d'écran de portails de connexion.

Encore plus préoccupant, ces journaux n'étaient pas isolés - ils comprenaient des données provenant des escroqueries précédentes de Lainchain, Rawkchain et Staxeblock, alimentant un réseau croissant d'informations volées.

Se protéger dans l'espace crypto

L'escroquerie de Lainchain met en lumière la menace croissante des fausses plateformes conçues pour imiter des opérations légitimes, ciblant ceux qui ne connaissent pas les systèmes crypto. Bien que des escroqueries comme celle-ci soient exposées, d'innombrables autres opèrent dans l'ombre, volant des millions à des utilisateurs non méfiants.

Rester en sécurité commence par comprendre comment ces escroqueries fonctionnent. Les fraudeurs demandent souvent des phrases de récupération ou trompent les utilisateurs en les incitant à connecter leurs portefeuilles à des plateformes malveillantes. Slava Demchuk, PDG d'AMLBot, a expliqué les risques :

« En connectant votre portefeuille à une plateforme non fiable, vous pourriez accorder involontairement des autorisations à des contrats intelligents malveillants pour accéder et vider vos fonds. Avant d'approuver toute transaction, examinez toujours les détails avec soin. Si la plateforme semble peu fiable ou manque d'un historique éprouvé, il vaut mieux s'en éloigner. »

Une autre tactique courante consiste à utiliser de fausses applications de portefeuille intégrées avec des logiciels malveillants pour voler des informations sensibles. Demchuk a souligné qu'il fallait faire preuve de prudence lors du téléchargement d'applications :

« Téléchargez uniquement des applications provenant de sources réputées et vérifiez leur crédibilité en consultant les avis des utilisateurs. Garder votre logiciel antivirus à jour ajoute une autre couche de protection. »

Il a également conseillé d'adopter une approche sceptique lors de l'évaluation des plateformes :

« Recherchez des drapeaux rouges comme des équipes anonymes ou non vérifiables, des identifiants manquants ou des incohérences dans leurs affirmations. Si quelque chose semble suspect, faites une pause et effectuez des recherches supplémentaires. Il vaut toujours mieux être prudent que de risquer de compromettre vos actifs. »

Signaler les escroqueries est tout aussi important. La collaboration entre utilisateurs, développeurs et régulateurs est essentielle pour protéger l'écosystème crypto. Rester informé et proactif protège non seulement les actifs individuels, mais renforce également la communauté crypto dans son ensemble contre ces menaces.