Même si les évangélistes du Web3 vantent depuis longtemps les fonctionnalités de sécurité natives de la blockchain, le torrent d’argent qui afflue dans l’industrie en fait une perspective tentante pour les pirates informatiques, les escrocs et les voleurs.
Lorsque des acteurs malveillants parviennent à violer la cybersécurité du Web3, c’est souvent parce que les utilisateurs négligent les menaces les plus courantes que sont la cupidité humaine, le FOMO et l’ignorance, plutôt qu’à cause de failles dans la technologie.
De nombreuses escroqueries promettent de gros gains, des investissements ou des avantages exclusifs ; la FTC les qualifie d’opportunités de gagner de l’argent et d’escroqueries en matière d’investissement.
Types de cyberattaques
Les failles de sécurité peuvent toucher aussi bien les entreprises que les particuliers. Bien que la liste ne soit pas exhaustive, les cyberattaques ciblant le Web3 se répartissent généralement en plusieurs catégories :
Phishing : l’une des formes de cyberattaque les plus anciennes et les plus courantes, les attaques de phishing se présentent généralement sous la forme d’e-mails et incluent l’envoi de communications frauduleuses telles que des SMS et des messages sur les réseaux sociaux qui semblent provenir d’une source fiable. Ce cybercrime peut également prendre la forme d’un site Web compromis ou codé de manière malveillante qui peut vider la crypto ou le NFT d’un portefeuille basé sur un navigateur connecté une fois qu’un portefeuille crypto est connecté.
Logiciel malveillant : abréviation de « logiciel malveillant », ce terme générique désigne tout programme ou code nuisible aux systèmes. Les logiciels malveillants peuvent pénétrer dans un système par le biais d'e-mails, de SMS et de messages de phishing.
Sites Web compromis : ces sites Web légitimes sont détournés par des criminels et utilisés pour stocker des logiciels malveillants que les utilisateurs sans méfiance téléchargent lorsqu'ils cliquent sur un lien, une image ou un fichier.
Usurpation d'URL : supprimez les liens des sites Web compromis ; les sites Web falsifiés sont des sites malveillants qui sont des clones de sites Web légitimes. Également connus sous le nom d'hameçonnage d'URL, ces sites peuvent collecter des noms d'utilisateur, des mots de passe, des cartes de crédit, des cryptomonnaies et d'autres informations personnelles.
Fausses extensions de navigateur : comme leur nom l’indique, ces exploits utilisent de fausses extensions de navigateur pour tromper les utilisateurs de crypto-monnaies afin qu’ils saisissent leurs informations d’identification ou leurs clés dans une extension qui donne au cybercriminel l’accès aux données.
Comment se protéger ?
La meilleure façon de vous protéger contre le phishing est de ne jamais répondre à un e-mail, un SMS, un message Telegram, Discord ou WhatsApp provenant d'une personne, d'une entreprise ou d'un compte inconnu.
Saisir vos identifiants ou vos informations personnelles lorsque vous utilisez des réseaux ou des réseaux Wi-Fi publics ou partagés. De plus, les gens ne doivent pas avoir un faux sentiment de sécurité parce qu'ils utilisent un système d'exploitation ou un type de téléphone particulier.
Gardez vos biens en sécurité
Dans la mesure du possible, utilisez des portefeuilles matériels ou des portefeuilles isolés pour stocker vos actifs numériques. Ces appareils, parfois appelés « stockage à froid », suppriment vos cryptomonnaies d’Internet jusqu’à ce que vous soyez prêt à les utiliser. Bien qu’il soit courant et pratique d’utiliser des portefeuilles basés sur un navigateur comme MetaMask, n’oubliez pas que tout ce qui est connecté à Internet peut être piraté.
Si vous utilisez un portefeuille mobile, un navigateur ou un ordinateur de bureau, également appelé portefeuille chaud, téléchargez-les à partir de plateformes officielles telles que Google Play Store, l'App Store d'Apple ou des sites Web vérifiés. Ne téléchargez jamais à partir de liens envoyés par SMS ou par e-mail. Même si des applications malveillantes peuvent s'infiltrer dans les boutiques officielles, cela est plus sûr que d'utiliser des liens.
Après avoir terminé votre transaction, déconnectez le portefeuille du site Web.
Assurez-vous de garder vos clés privées, vos phrases clés et vos mots de passe confidentiels. Si l'on vous demande de partager ces informations pour participer à un investissement ou à un minage, il s'agit d'une arnaque.
N’investissez que dans des projets que vous comprenez. Si vous ne comprenez pas comment fonctionne le système, arrêtez-vous et faites plus de recherches.
Ignorez les tactiques de pression et les délais serrés. Les escrocs utilisent souvent cette tactique pour tenter d'invoquer le syndrome FOMO et d'empêcher les victimes potentielles de réfléchir ou de faire des recherches sur ce qu'on leur dit.
Enfin et surtout, si cela semble trop beau pour être vrai, c’est probablement une arnaque.
