Les attaques d'ingénierie sociale deviennent une menace majeure dans le domaine des actifs chiffrement.

Ces dernières années, les incidents d'attaques par ingénierie sociale ciblant les utilisateurs de chiffrement se sont multipliés, suscitant une large attention dans l'industrie. Ces attaques ne sont pas des cas isolés, mais présentent des caractéristiques de durabilité et d'organisation.

Le 15 mai, une plateforme d'échange a publié un communiqué confirmant les précédentes spéculations concernant une fuite de données internes. Le ministère de la Justice des États-Unis a ouvert une enquête à ce sujet. Cet article révélera les principales méthodes d'escroquerie basées sur les informations fournies par plusieurs chercheurs en sécurité et victimes, et discutera des stratégies de réponse du point de vue de la plateforme et des utilisateurs.

Analyse historique

Le détective en chaîne Zach a indiqué dans sa mise à jour du 7 mai que plus de 45 millions de dollars avaient été volés aux utilisateurs en raison de fraudes d'ingénierie sociale au cours de la seule semaine passée. Au cours de l'année écoulée, Zach a révélé à plusieurs reprises des incidents de vol connexes, certains victimes ayant perdu jusqu'à des millions de dollars.

Zach a déclaré dans une enquête détaillée en février 2025 que le montant total des pertes financières causées par de telles escroqueries entre décembre 2024 et janvier 2025 avait dépassé 65 millions de dollars. Il a également souligné :

• Les groupes qui dirigent ce type d'escroquerie se divisent principalement en deux catégories : d'une part, des attaquants de bas niveau provenant de cercles spécifiques, et d'autre part, des organisations criminelles en ligne situées en Inde.
• Les gangs d'escroquerie ciblent principalement les utilisateurs américains, avec des méthodes d'opération standardisées et des scripts bien établis.
• Le montant réel des pertes peut être bien supérieur aux statistiques visibles, car il n'inclut pas les tickets de support client non publiés et les rapports de police.

Méthodes de fraude

Dans cet événement, le système technique de la plateforme n'a pas été compromis, les fraudeurs ont utilisé les droits des employés internes pour obtenir certaines informations sensibles des utilisateurs, y compris le nom, l'adresse, les coordonnées, les données du compte, les photos de carte d'identité, etc. L'objectif final des fraudeurs est de manipuler les utilisateurs pour qu'ils effectuent des virements par des moyens d'ingénierie sociale.

Ce type d'attaque a changé la méthode traditionnelle de phishing "à grande échelle" pour se concentrer sur des "frappes précises", ce qui en fait une escroquerie sociale "sur mesure". Le chemin typique de l'infraction est le suivant :

1. Contacter les utilisateurs en tant que "service client officiel"
2. Guider les utilisateurs à télécharger le portefeuille de la plateforme
3. Inciter les utilisateurs à utiliser les mots de passe mnémotechniques fournis par les fraudeurs
4. Les escrocs effectuent le vol de fonds

Les escrocs utilisent des systèmes téléphoniques falsifiés pour se faire passer pour le service client, affirmant que le "compte de l'utilisateur a été soumis à une connexion illégale" ou "une anomalie de retrait a été détectée", créant un climat d'urgence. Ils envoient ensuite des courriels ou des SMS de phishing réalistes pour inciter les utilisateurs à agir.

Certaines e-mails de phishing vont même jusqu'à prétendre "en raison d'une décision de recours collectif, la plateforme va migrer complètement vers des portefeuilles auto-hébergés", demandant aux utilisateurs de transférer leurs actifs dans un court délai. Sous la pression du temps et l'influence psychologique de "l'instruction officielle", les utilisateurs sont plus enclins à coopérer.

Ces attaques sont souvent organisées et planifiées.

• Outils de fraude améliorés : utilisation d'un système PBX pour falsifier les numéros de téléphone appelants, avec l'aide d'un robot Telegram imitant l'adresse email officielle.
• Cible précise : S'appuyant sur des données d'utilisateur volées achetées sur le dark web, cibler des groupes d'utilisateurs spécifiques.
• Processus de tromperie cohérent : des appels téléphoniques, des SMS aux e-mails, le chemin de l'escroquerie s'enchaîne sans couture.

Analyse des flux de fonds

Grâce au système d'analyse en chaîne, nous avons suivi certaines adresses de fraudeurs et découvert :

• Les cibles des attaques couvrent plusieurs actifs, principalement BTC et ETH.
• BTC est actuellement la principale cible des escroqueries, avec des gains uniques pouvant atteindre des millions de dollars.
• Après l'obtention des fonds, les escrocs procèdent rapidement à l'échange et au transfert des actifs.
• Les actifs de type ETH sont souvent échangés contre des stablecoins via des DEX, puis transférés de manière dispersée.
• BTC est principalement transféré vers Ethereum via un pont inter-chaînes, puis échangé contre des stablecoins.
• Certaines adresses de fraude ayant obtenu des stablecoins n'ont pas encore été transférées et sont dans un état de "stagnation".

Il est conseillé aux utilisateurs d'utiliser des outils d'analyse en chaîne pour effectuer une vérification des risques sur l'adresse cible avant de trader, afin d'éviter les menaces potentielles.

Mesures d'adaptation

plateforme

• Envoi régulier de contenu éducatif sur la fraude
• Optimiser le modèle de gestion des risques, introduire "identification interactive des comportements anormaux"
• Normaliser les canaux de service client et les mécanismes de vérification

utilisateur

• Mise en œuvre de la stratégie d'isolement des identités
• Activer la liste blanche de transfert et le mécanisme de refroidissement des retraits
• Restez informé des actualités sur la sécurité
• Faites attention aux risques hors ligne et à la protection de la vie privée

En résumé, restez sceptique et continuez à vérifier. Lorsqu'il s'agit d'opérations urgentes, il est impératif de demander à l'autre partie de prouver son identité et de vérifier de manière indépendante par des canaux officiels, afin d'éviter de prendre des décisions irréversibles sous pression.

Résumé

Cet incident met encore en lumière les lacunes évidentes de l'industrie en matière de protection des données clients et des actifs face à des techniques d'attaque sociale de plus en plus sophistiquées. Avec l'expansion de la plateforme, la complexité du contrôle de la sécurité du personnel s'est accrue, devenant l'un des risques les plus difficiles à surmonter dans le secteur.

La plateforme doit, tout en renforçant les mécanismes de sécurité de la chaîne, construire systématiquement un "système de défense contre l'ingénierie sociale" couvrant le personnel interne et les services externalisés, intégrant ainsi les risques humains dans la stratégie de sécurité globale. Dès qu'une menace continue, organisée et à grande échelle est détectée, la plateforme doit répondre rapidement, rechercher proactivement les vulnérabilités, alerter les utilisateurs sur les mesures de prévention et contrôler l'étendue des dommages.

Ce n'est qu'en agissant simultanément sur les plans technique et organisationnel que l'on peut véritablement préserver la confiance des utilisateurs et les normes de l'industrie dans un environnement de sécurité de plus en plus complexe.