Les acteurs malveillants du Darknet travaillent ensemble pour voler vos crypto-monnaies, voici comment — Binance CSO

Dans les recoins les plus sombres du dark web se cache un écosystème « bien établi » de pirates informatiques qui ciblent les utilisateurs de cryptomonnaies ayant une « hygiène de sécurité » médiocre, selon le responsable de la sécurité de Binance.
S'adressant à Cointelegraph, Jimmy Su, CSO de Binance, a déclaré qu'au cours des dernières années, les pirates ont déplacé leur regard vers les utilisateurs finaux de crypto-monnaies.
Su a noté que lors de l'ouverture de Binance en juillet 2017, l'équipe avait constaté de nombreuses tentatives de piratage sur son réseau interne. Cependant, à mesure que les échanges de crypto-monnaies ont continué à renforcer leur sécurité, l'accent a changé.
Les escroqueries par hameçonnage (phishing) sont particulièrement répandues dans les e-mails. Elles sont utilisées pour collecter vos informations sensibles en se faisant passer pour une personne de confiance. Consultez le blog ci-dessous pour savoir comment vous en protéger. https://t.co/UtKBvR52lX
— Binance (@binance) 4 juillet 2023
« Les hackers choisissent toujours la barre la plus basse pour atteindre leurs objectifs, car pour eux, c'est aussi un business. La communauté des hackers est un écosystème bien établi. »
Selon Su, cet écosystème comprend quatre couches distinctes : les collecteurs de renseignements, les affineurs de données, les pirates informatiques et les blanchisseurs d’argent.
Collecteurs de données
La couche la plus en amont est ce que Su appelle le « renseignement sur les menaces ». Ici, les acteurs malveillants collectent et compilent des informations mal acquises sur les utilisateurs de cryptomonnaies, créant ainsi des feuilles de calcul complètes contenant des informations sur différents utilisateurs.
Cela peut inclure les sites Web de cryptographie qu'un utilisateur fréquente, les e-mails qu'il utilise, son nom et s'il est sur Telegram ou sur les réseaux sociaux.
« Il existe un marché pour cela sur le dark web où ces informations sont vendues [...] qui décrivent l'utilisateur », a expliqué Su dans une interview en mai.
Su a noté que ces informations sont généralement collectées en masse, comme les fuites d'informations sur les clients précédents ou les piratages ciblant d'autres fournisseurs ou plateformes.
Un employé de notre fournisseur de messagerie, https://t.co/6vM4WAcJal, a abusé de son accès personnel pour télécharger et partager des adresses e-mail avec un tiers externe non autorisé. Les adresses e-mail fournies à OpenSea par des utilisateurs ou des abonnés à la newsletter ont été impactées. https://t.co/Osb6qqkqZZ
— OpenSea (@opensea) 30 juin 2022
En avril, une étude de Privacy Affairs a révélé que des cybercriminels vendaient des comptes de cryptomonnaies piratés pour seulement 30 dollars pièce. De faux documents, souvent utilisés par les pirates pour ouvrir des comptes sur des sites de trading de cryptomonnaies, peuvent également être achetés sur le dark web.
Raffineurs de données
Selon Su, les données collectées sont ensuite vendues en aval à un autre groupe, généralement composé d’ingénieurs de données spécialisés dans l’affinage des données.
Par exemple, l'année dernière, un ensemble de données concernant les utilisateurs de Twitter a été créé. [...] Grâce à ces informations, ils peuvent affiner leur analyse et identifier, à partir des tweets, ceux qui sont réellement liés aux cryptomonnaies.
Ces ingénieurs de données utiliseront ensuite des « scripts et des bots » pour déterminer sur quels échanges l’amateur de cryptomonnaies peut être inscrit.
Pour ce faire, ils tentent de créer un compte avec l'adresse e-mail de l'utilisateur. Si un message d'erreur indique que l'adresse est déjà utilisée, ils le sauront s'ils utilisent la plateforme d'échange. Ces informations pourraient être précieuses pour des escroqueries plus ciblées, a déclaré Su.
Les pirates informatiques et les hameçonneurs
La troisième couche est généralement celle qui fait la une des journaux. Les escrocs ou les pirates informatiques utilisent les données précédemment affinées pour créer des attaques d'hameçonnage « ciblées ».
« Comme ils savent maintenant que « Tommy » est un utilisateur de la plateforme d'échange « X », ils peuvent simplement envoyer un SMS disant : « Hé Tommy, nous avons détecté que quelqu'un a retiré 5 000 $ de ton compte. Veuillez cliquer sur ce lien et contacter le service client si ce n'est pas toi. » »
En mars, le fournisseur de portefeuilles matériels Trezor a averti ses utilisateurs d'une attaque de phishing conçue pour voler l'argent des investisseurs en les obligeant à saisir la phrase de récupération du portefeuille sur un faux site Web Trezor.
La campagne de phishing impliquait des attaquants se faisant passer pour Trezor et contactant les victimes par le biais d'appels téléphoniques, de SMS ou d'e-mails, affirmant qu'il y avait eu une faille de sécurité ou une activité suspecte sur leur compte Trezor.
Capture d'écran d'un domaine de phishing copiant le site web de Trezor. Source : Bleeping Computer.
Une fois les fonds volés, l'étape finale consiste à s'enfuir. Su a expliqué que cela pourrait impliquer de laisser les fonds inactifs pendant des années, puis de les transférer vers un système de mixage de cryptomonnaies comme Tornado Cash.
« Nous savons qu’il y a des groupes qui peuvent rester assis sur leurs gains volés pendant deux ou trois ans sans aucun mouvement », a ajouté Su.
Même si rien ne peut arrêter les pirates informatiques, Su exhorte les utilisateurs de cryptomonnaies à adopter une meilleure « hygiène de sécurité ».
Cela pourrait impliquer la révocation des autorisations pour les projets de finance décentralisée s'ils ne les utilisent plus, ou la garantie que les canaux de communication tels que le courrier électronique ou les SMS utilisés pour l'authentification à deux facteurs restent privés.
Magazine : Tornado Cash 2.0 — La course à la construction de mélangeurs de pièces sûrs et légaux