L’éducation cryptographique est essentielle pour freiner les escroqueries par hameçonnage

L’éducation cryptographique est essentielle pour freiner les escroqueries par hameçonnage

Paragon crypto

Alors que l’économie mondiale de la crypto continue de prospérer, avec Bitcoin (BTC) occupant actuellement la région de 15500 $, les questions concernant la sûreté et la sécurité globales des actifs numériques continuent de persister, en particulier à la suite d’une nouvelle arnaque par laquelle des pirates ont utilisé un e-mail de phishing pour diriger les utilisateurs vers un faux site Web Ledger. Selon divers rapports, les victimes ont été escroquées à hauteur de 1 150 000 XRP, d’une valeur d’environ 290 000 dollars.

Dave Jevans, PDG de la société de renseignement sur la blockchain CipherTrace et président du groupe de travail Anti-Phishing, a déclaré à Crypto: «Ledger devrait clairement avoir une stratégie d’acquisition de domaines défensifs plus agressive, car des domaines similaires ont été utilisés par des hameçonneurs pour tenter de tromper les utilisateurs de Ledger. . » Il a en outre expliqué qu’un stratagème illégal de création d’argent utilisait un homoglyphe dans l’URL officielle de l’entreprise – dans ce cas, une lettre qui ressemblait à la lettre «e». Il ajouta:

«Les escroqueries par hameçonnage étaient probablement le résultat d’e-mails provenant d’une violation de données de commerce électronique / marketing. Un tiers non autorisé a eu accès à une partie de la base de données de commerce électronique et de marketing de Ledger via une clé API. ”

Plus tôt cette année en juillet, l’équipe du grand livre a révélé qu’elle avait été victime d’une violation de données, à la suite de laquelle près d’un million d’adresses e-mail avaient été compromises, ainsi que les données personnelles d’un sous-ensemble de 9500 clients. De plus, en 2018, les escrocs ont pu concevoir une copie du site Web Binance (avec un certificat SSL), qui est resté actif pendant un certain temps avant d’être retiré.

Enfin, certains malfaiteurs ont pu récolter 1,4 million de jetons XRP en mars en utilisant une extension frauduleuse de Google Chrome qui reproduisait la ressemblance de Ledger. En fait, l’extension était en ligne sur l’App Store de Google pendant près d’un mois. S’exprimant sur les différents protocoles de sécurité utilisés par l’entreprise, un porte-parole de Ledger a déclaré à Crypto:

«Ledger possède son propre laboratoire d’attaque, Ledger Donjon, où les experts en sécurité tentent de pirater et de tester nos propres solutions, les solutions de nos partenaires et les solutions de nos concurrents. De plus, Ledger effectue régulièrement des tests de pénétration. »

Les clients sont-ils également responsables?

Il va sans dire que les opérateurs de portefeuille doivent être au top de leur jeu en matière de sécurité lorsqu’il s’agit de protéger les actifs de leurs clients. Cependant, les attaques de phishing sont courantes, non seulement dans l’espace cryptographique, mais avec tout service en ligne qui implique un moyen de paiement.

S’exprimant sur la question, Pavol Rusnák, co-fondateur et directeur de la technologie de SatoshiLabs, la société à l’origine du portefeuille Trezor, a déclaré à Crypto qu’il était de première importance que les propriétaires de crypto soient prudents et revérifient chaque information qu’ils reçoivent en relation avec leurs actifs numériques, que ce soit auprès de leurs fournisseurs de portefeuille ou d’Internet en général:

“Si un e-mail prétend que vous devez faire quelque chose, vous pouvez toujours le confirmer via le support du fournisseur ou avec d’autres utilisateurs sur Reddit ou Twitter. Quant à ce que les fournisseurs peuvent (et devraient) faire, c’est réduire la possibilité de fuite en ne partageant pas les données de leurs clients avec des tiers et réduire l’impact de ces fuites en supprimant les données de leurs clients après un certain temps. “

Une perspective similaire a été partagée par Jevans, qui estime que les questions liées à la sécurité et à la confidentialité des clients doivent être considérées avec un objectif de «responsabilité partagée», de sorte que les opérateurs de portefeuilles matériels ainsi que les propriétaires de crypto-monnaies travaillent en synchronisation les uns avec les autres pour garantir une la sécurité de leurs actifs contre les menaces de tiers.

Jevans a encouragé les utilisateurs à prendre des mesures de protection raisonnables pour protéger leur valeur et à assumer la responsabilité de leurs actions en utilisant des pratiques imprégnées de sécurité des données individuelles, ajoutant: «Déployez l’authentification à deux facteurs et ne cliquez jamais sur un lien du grand livre, sauf Réinitialisation du mot de passe. Les utilisateurs doivent toujours saisir l’URL eux-mêmes lorsqu’ils visitent directement le site Ledger. »

L’éducation cryptographique reste cruciale

En dépit d’être révolutionnaire dans la conception et le potentiel technologique, la crypto reste un concept étranger pour la plupart. Cependant, en offrant aux gens une autosouvernance monétaire, la technologie les a également chargés d’une grande responsabilité personnelle, en particulier en termes de sécurité financière individuelle. En conséquence, il va de soi que les entreprises de la blockchain et de l’espace crypto doivent éduquer leurs utilisateurs sur les implications de sécurité de leurs actions.

Rusnák estime que l’industrie a encore du chemin à parcourir en matière de sécurité. Il a souligné qu’un certain nombre d’entreprises opérant dans ce domaine ont aujourd’hui tendance à faire des simplifications excessives, telles que “Vos coins sont en sécurité parce que votre portefeuille a un élément sécurisé” ou “Vos coins sont en sécurité car notre échange est assuré.” À cela, il a ajouté: «Cela n’aide pas avec la question, faire croire aux gens quelque chose qui n’est pas vrai, les rendant sans défense.»

Statistiquement parlant, environ 85% à 90% des propriétaires de crypto semblent être la proie de stratagèmes de vol de crypto très courants, généralement de fausses escroqueries d’investissement plutôt que des pièges de phishing, selon les données fournies à Crypto par CipherTrace. En conséquence, Jevans estime qu’il serait dans l’intérêt des principaux opérateurs de portefeuilles matériels d’utiliser leurs plates-formes pour informer leurs utilisateurs sur ce qu’il faut rechercher en cas de tentatives de phishing, en particulier lorsque ces escroqueries invoquent le nom du fournisseur de portefeuille:

«Sur la base de centaines de cas de vol de crypto et de fraude, les utilisateurs de crypto doivent devenir beaucoup plus sophistiqués en ce qui concerne leurs opérations de sécurité personnelle (SecOps) lorsqu’ils choisissent de conserver leurs clés privées. De nombreuses victimes de crypto-criminalité ne savent pas quoi faire lorsqu’elles découvrent qu’elles ont subi un vol. »

Les opérateurs de portefeuille devraient devenir des pionniers du secteur

Bien que des entreprises comme Ledger et Trezor disposent d’informations dédiées liées au phishing et à d’autres tactiques d’arnaque similaires sur leurs sites Web, ces pages ne sont pas facilement accessibles et sont généralement enfouies dans les sections FAQ de dépannage. Par conséquent, il semble raisonnable de s’attendre à ce que les fournisseurs de portefeuilles e stables fassent davantage en termes de fourniture aux clients d’un accès simplifié à une éducation de haute qualité centrée sur la sécurité.

Sur cette question, Rusnák insiste sur le fait que la transparence et l’éducation sont les clés pour maximiser la sécurité de ses fonds. Il a estimé que les utilisateurs ne pouvaient pas vraiment être en sécurité s’ils ne prenaient pas le temps de s’asseoir et de comprendre l’essentiel de la sécurité cryptographique et de la sécurité du portefeuille personnel.

Sur une note plus technique, il a expliqué que la conception opérationnelle de base des différentes options de portefeuille de Trezor est entièrement open-source et que la société est totalement transparente sur tous ses différents accords opérationnels avec ses clients, afin d’éviter tous les problèmes monétaires juridiques rencontrés ultérieurement. la ligne: «Il faudra un certain temps avant que toutes les entreprises de l’espace crypto-monnaie comprennent cela, mais c’est aussi notre travail d’exiger la transparence et l’ouverture des fournisseurs de services que nous utilisons.»