Des experts en cybersécurité ont identifié une campagne de phishing ciblant certains des exchanges de cryptomonnaies les plus populaires tels que Coinbase, Kucoin, Crypto.com, ainsi que le wallet MetaMask.

Une campagne de phishing a actuellement lieu parmi les utilisateurs de cryptomonnaies. C'est ce qu'affirment les experts en cybersécurité de PIXM, qui l'ont repérée en 2021, lorsqu'elle ne ciblait alors que Coinbase, avant de s'étendre récemment à plusieurs autres acteurs très connus du secteur tels que Kucoin, Crypto.com et MetaMask. Les escrocs ont dans ce cadre détourné les services de Microsoft Azure Web Apps pour mettre en place des sites de phishing.

Les escrocs utilisent une chatbox, et si besoin le logiciel d'accès à distance TeamViewer
Les victimes reçoivent tout d'abord un mail frauduleux aux couleurs de l'exchange leur demandant de confirmer une transaction ou leur indiquant une activité suspecte. Une fois redirigés sur le site de phishing, il est demandé aux utilisateurs de remplir leurs identifiants de connexion, puis à l'étape suivante de taper le code obtenu par l'authentification multifactorielle. Dans le cas de MetaMask, c'est la phrase de récupération (seed) qui est demandée. Ces informations sont directement récupérées par les pirates, qui peuvent lancer la phase suivante.

Un message d'erreur s'affiche alors, suivi de l'apparition d'une fenêtre de discussion de support client dans laquelle les scammers engagent directement la discussion avec la victime. La conversation entamée va leur donner le temps de vider le compte de l'utilisateur, mais aussi d'obtenir d'éventuelles informations supplémentaires nécessaires au transfert des fonds. En cas d'expiration du code d'authentification, il sera demandé d'en générer un nouveau.

Et si malgré tout les escrocs n'arrivent pas à s'ouvrir le compte crypto de leur proie, ils passent à une étape alternative. Afin de faire de leur terminal un « appareil de confiance », ils doivent convaincre leur victime de télécharger le logiciel de téléassistance TeamViewer, qui permet l'accès à distance d'ordinateurs. Ils demandent ensuite au possesseur du compte crypto de taper à nouveau ses informations de connexion, tout en ajoutant de leur côté un caractère dans la case du mot de passe afin d'y générer une erreur. Puis, ils demandent à ce que le mot de passe soit copié dans le chat de TeamViewer, ce qui leur permet de se connecter au compte sur leur ordinateur. Grâce à ce même logiciel, ils vont pouvoir s'emparer directement du lien envoyé par mail destiné à de faire d'un ordinateur l'appareil de confiance du compte, et y obtenir l'accès.


crnimg59764