Les escroqueries par phishing crypto rapportent 7,77 millions de dollars en novembre

Résumé exécutif

Selon les données de Scam Sniffer, les attaques de phishing ciblant le secteur des cryptomonnaies ont causé environ 7,77 millions de dollars de pertes à 6 344 victimes en novembre. Ces incidents mettent en lumière un paysage de menaces significatif et en évolution, où les attaquants déploient des méthodes sophistiquées pour frauder les investisseurs. Un cas notable a impliqué la perte de 1,22 million de dollars par une seule victime via une signature « permit » compromise, soulignant les risques financiers graves associés aux interactions modernes de contrats intelligents.

L'événement en détail

La firme de surveillance de la sécurité blockchain Scam Sniffer a rapporté que novembre fut un autre mois coûteux pour les investisseurs crypto en raison des activités de phishing. Les pertes totales se sont élevées à 7,77 millions de dollars, affectant des milliers d'individus.

La perte individuelle la plus importante provenait d'un exploit impliquant une signature « permit ». Cette technique, basée sur l'EIP-2612, permet aux utilisateurs d'approuver les dépenses de jetons via une signature hors chaîne sans payer de frais de gaz. Bien que conçue pour la commodité, elle est devenue une cible principale pour les phishers. Les attaquants incitent les utilisateurs à signer un message apparemment inoffensif, qui en réalité accorde au fraudeur la permission de vider les jetons du portefeuille de l'utilisateur. Le vol de 1,22 million de dollars démontre la puissance de ce vecteur d'attaque, car une seule signature peut autoriser des transferts d'actifs étendus sans nécessiter une transaction directe on-chain de la part de la victime.

Implications pour le marché

La persistance et la sophistication croissante des attaques de phishing contribuent à un sentiment de marché baissier en érodant la confiance dans la sécurité des plateformes DeFi et Web3. Chaque vol de haut niveau renforce la perception de l'espace crypto comme un environnement à haut risque, ce qui peut décourager l'adoption grand public et attirer un examen réglementaire accru. L'exploitation de fonctionnalités fondamentales de la blockchain comme les signatures « permit » pourrait conduire les régulateurs à imposer des normes de sécurité plus strictes aux développeurs de DApp et aux fournisseurs de portefeuilles pour protéger les consommateurs.

Commentaire d'expert

L'évolution technique des campagnes de phishing est une préoccupation majeure pour les experts en sécurité. Les attaquants ne se contentent plus de simples arnaques faciles à détecter. Selon un rapport de MediaPost, les phishers intègrent désormais des caractères Unicode invisibles et des traits d'union doux dans les lignes d'objet des e-mails. Ces caractères ne sont pas visibles à l'œil humain mais brouillent efficacement le contenu pour les filtres de sécurité basés sur des mots-clés, permettant aux e-mails malveillants de contourner la détection.

« Pour vous, cela semble normal. Pour un filtre de sécurité, cela semble brouillé, sans mot-clé clair à faire correspondre », explique le journaliste tech Kurt the CyberGuy. Cela permet aux attaquants de délivrer des e-mails trompeurs qui créent un sentiment d'urgence, dirigeant les utilisateurs vers de fausses pages de connexion.

De plus, la menace s'étend au-delà de l'e-mail. La firme de sécurité Koi Security a identifié un acteur de menace, 'ShadyPanda', qui a distribué plus de 100 extensions de navigateur malveillantes pour Chrome et Edge. Ces extensions, téléchargées par plus de 4 millions d'utilisateurs, opèrent comme des portes dérobées pour la fraude d'affiliation, le vol de données et l'exécution de code à distance. Elles représentent un vecteur de menace persistant qui peut enregistrer les frappes de l'utilisateur, voler les données de cookies et exfiltrer les empreintes numériques du navigateur.

Contexte plus large

Ces incidents de phishing font partie d'une tendance plus large d'escalade de la cybercriminalité ciblant les plateformes numériques. Par exemple, la récente violation de données chez le géant du commerce électronique Coupang a entraîné le vol d'informations personnelles de 33,7 millions de clients. Bien qu'il ne s'agisse pas d'un événement de phishing crypto direct, de telles violations à grande échelle fournissent aux attaquants les données brutes – noms, adresses e-mail et numéros de téléphone – nécessaires pour élaborer des campagnes de phishing très ciblées et convaincantes.

La convergence de l'ingénierie sociale sophistiquée, des exploits techniques et des données personnelles facilement disponibles crée un risque systémique pour l'ensemble de l'écosystème des actifs numériques. Cela impose une plus grande responsabilité aux plateformes pour développer des architectures de sécurité plus résilientes et aux utilisateurs pour maintenir un degré élevé de vigilance lors de l'interaction avec les applications et de la signature des transactions.