Square
Accueil
Plus récents
Populaire
Perspectives
En direct
Tout
Analyse du marché
Sujets d'actualité
Blockchain
Autres
Discussion
Calendrier Crypto
Actualités
Gate Blog
Plus
Le guide pour les débutants
Accueil
Plus récents
Populaire
Perspectives
Publication

Des experts en cybersécurité ont failli être victimes de phishing sophistiqué, entraînant une fuite de 16 milliards de données et provoquant une crise.

LiquidationWatchervip

Une attaque de phishing sophistiquée qui a presque piégé même les experts en cybersécurité

Récemment, un gigantesque ensemble de données contenant 16 milliards d'informations sur des utilisateurs a circulé en ligne, comprenant à la fois des données précédemment divulguées et de nouvelles informations d'identification volées. Bien que la majorité soit une réorganisation de données anciennes, les données mises à jour restent inquiétantes. Cela est considéré comme l'un des plus grands ensembles de fuites de comptes uniques de l'histoire.

Des hackers exploitent ces données pour mener diverses attaques, et je suis devenu l'une de leurs cibles.

L'attaque de phishing lancée contre mes appareils et comptes personnels le 19 juin est la plus sophistiquée que j'ai rencontrée au cours de mes dix années de carrière en cybersécurité. Les attaquants ont d'abord créé l'illusion que mon compte était attaqué sur plusieurs plateformes, puis se sont fait passer pour des employés d'une plateforme d'échange pour offrir de l'"aide". Ils ont combiné des techniques d'ingénierie sociale avec des tactiques coordonnées via SMS, téléphone et e-mails falsifiés, tous conçus pour créer un faux sentiment d'urgence, de crédibilité et d'effet de masse. Cette fausse attaque a eu un large impact et une grande autorité, ce qui est justement la clé de sa tromperie.

Je vais maintenant détailler le processus d'attaque, analyser les signaux d'alerte, ainsi que les mesures de protection que j'ai prises. Je partagerai également des leçons clés et des conseils pratiques pour aider les investisseurs à garantir leur sécurité dans un environnement de menaces en constante évolution.

Les données historiques et les données récemment divulguées peuvent être utilisées par des hackers pour mener des attaques multicanaux hautement ciblées. Cela souligne à nouveau l'importance d'une protection de sécurité en couches, d'un mécanisme de communication clair avec les utilisateurs et d'une stratégie de réponse en temps réel. Que ce soit pour les institutions ou les utilisateurs individuels, chacun peut tirer parti de cet exemple en utilisant des outils pratiques, y compris des protocoles de vérification, des habitudes de reconnaissance de domaine et des étapes de réponse, qui peuvent aider à empêcher qu'une négligence temporaire ne se transforme en une vulnérabilité de sécurité majeure.

​​Le "manuel" des arnaques de phishing de Coinbase : une rétrospective des attaques qui a fait frémir même les experts et un guide de prévention contre la fraude​​

Détournement de carte SIM

L'attaque a commencé vers 15h15 un après-midi, un message anonyme affirmant que quelqu'un essayait d'inciter un opérateur mobile à divulguer mon numéro de téléphone à des tiers, cette méthode d'attaque est connue sous le nom d'échange de SIM.

Il est important de noter que ce message ne provient pas d'un code court, mais d'un numéro de téléphone ordinaire à 10 chiffres. Les entreprises légitimes envoient des SMS en utilisant des codes courts. Si vous recevez un message d'un numéro standard inconnu prétendant être une entreprise, il est très probable qu'il s'agisse d'une tentative d'escroquerie ou de phishing.

Ces informations contiennent également des éléments contradictoires. Le premier message indique que la fuite a eu lieu dans la région de la baie de San Francisco, tandis que les messages suivants affirment qu'elle s'est produite à Amsterdam.

Une fois l'échange SIM réussi, cela peut être extrêmement dangereux, car l'attaquant peut obtenir le code de vérification à usage unique que la plupart des entreprises utilisent pour réinitialiser les mots de passe ou accéder aux comptes. Cependant, il ne s'agit pas ici d'un véritable échange SIM, les hackers préparent en réalité un stratagème plus sophistiqué.

Code de vérification à usage unique et réinitialisation du mot de passe

L'attaque a ensuite évolué, et j'ai reçu successivement des codes de vérification à usage unique prétendument envoyés par une certaine plateforme de paiement, via SMS et applications de messagerie instantanée. Cela me fait croire que quelqu'un essaie de se connecter à mes comptes sur diverses plateformes financières. Contrairement aux SMS provenant d'opérateurs suspects, ces codes de vérification proviennent réellement de codes courts apparemment légitimes.

Appels de phishing

Environ cinq minutes après avoir reçu le message, j'ai reçu un appel d'un numéro californien. L'appelant, qui se présente comme "Mason", parle avec un accent américain pur et affirme faire partie de l'équipe d'enquête d'une plateforme de trading. Il dit que dans les 30 dernières minutes, il y a eu plus de 30 tentatives de réinitialisation de mot de passe et d'intrusion dans le compte via la fenêtre de chat de la plateforme. Selon "Mason", le prétendu attaquant a réussi à passer la première couche de vérification de sécurité pour la réinitialisation du mot de passe, mais a échoué lors de la deuxième étape de vérification.

Il m'a dit que l'autre partie pouvait fournir les quatre derniers chiffres de ma carte d'identité, le numéro complet de mon permis de conduire, mon adresse familiale et mon nom complet, mais n'a pas pu fournir le numéro complet de ma carte d'identité ni les quatre derniers chiffres de la carte bancaire associée au compte. Mason a expliqué que c'est cette contradiction qui a déclenché l'alerte de l'équipe de sécurité de la plateforme, les incitant à me contacter pour vérifier la véracité.

Les entreprises telles que des bourses réglementées n'appelleront jamais les utilisateurs, sauf si vous avez initié une demande de service via le site officiel.

​​Arnaque "manifeste" de Coinbase : une analyse des attaques qui fait froid dans le dos même aux experts et guide de prévention contre la fraude​​

Vérification de la sécurité

Après avoir annoncé cette "mauvaise nouvelle", Mason a proposé de protéger mon compte en bloquant des canaux d'attaques supplémentaires. Il a commencé par les connexions API et les portefeuilles associés, affirmant qu'il révoquerait leur accès pour réduire le risque. Il a énuméré plusieurs objets connectés, y compris certaines plateformes d'échange, outils d'analyse, portefeuilles, etc., dont certains ne me sont pas familiers, mais je suppose qu'ils pourraient être ceux que j'ai configurés moi-même et que j'ai oubliés.

À ce moment-là, ma méfiance avait diminué, au point que je me sentais en sécurité grâce à la "protection proactive" de la plateforme.

À ce jour, Mason n'a pas demandé d'informations personnelles, d'adresse de portefeuille, de double vérification ou de mot de passe à usage unique, qui sont généralement des demandes courantes des phishers. L'ensemble du processus d'interaction est très sûr et préventif.

Méthodes de pression implicites

Ensuite, une première tentative de pression est apparue, en créant un sentiment d'urgence et de vulnérabilité. Après avoir terminé ce qu'ils appellent une "vérification de sécurité", Mason a affirmé qu'en raison du fait que mon compte avait été marqué comme à haut risque, la protection des comptes premium de la plateforme avait été annulée. Cela signifie que les actifs de mon portefeuille sur la plateforme ne sont plus couverts par une assurance, et si un attaquant réussit à voler des fonds, je ne pourrai pas obtenir de compensation.

En y repensant, cette série d'arguments aurait dû constituer une faille évidente. Contrairement aux dépôts bancaires, les actifs cryptographiques ne sont jamais protégés par une assurance. Bien que les échanges puissent déposer les dollars des clients dans des banques assurées, l'échange lui-même n'est pas une institution assurée.

Mason a également averti que le compte à rebours de 24 heures a déjà commencé, et que les comptes en retard seront verrouillés. Le déverrouillage nécessitera un processus complexe et long. Plus terrifiant encore, il a affirmé que si un attaquant obtenait mon numéro de sécurité sociale complet pendant cette période, il pourrait même voler des fonds même si le compte est gelé.

Plus tard, j'ai consulté l'équipe d'assistance clientèle de la plateforme et j'ai appris que le verrouillage du compte était justement une mesure de sécurité recommandée par eux. Le processus de déverrouillage est en fait simple et sécurisé : il suffit de fournir une photo de votre carte d'identité et un selfie, et la plateforme peut rapidement rétablir l'accès une fois l'identité vérifiée.

Puis j'ai reçu deux e-mails. Le premier est un e-mail de confirmation d'abonnement aux nouvelles de la plateforme, c'est simplement un e-mail normal déclenché par l'attaquant en soumettant mon e-mail via le formulaire du site officiel. Il s'agit manifestement d'une tentative de brouiller mon jugement avec un e-mail officiel, afin d'accroître la crédibilité de l'escroquerie.

Le deuxième e-mail encore plus inquiétant provient d'une adresse semblant être un domaine officiel de la plateforme, déclarant que la protection de mon compte premium a été annulée. Cet e-mail, qui semble provenir d'un domaine légitime, est extrêmement trompeur - s'il provenait d'un domaine suspect, il aurait pu être facilement identifié, mais en raison de son affichage en tant qu'adresse officielle, il paraît réel et crédible.

Mesures de remédiation suggérées

Mason a ensuite proposé de transférer mes actifs dans un portefeuille multisignature appelé "Vault" pour garantir la sécurité. Il m'a même demandé de rechercher la documentation officielle pour prouver qu'il s'agit d'un service légitime de la plateforme depuis des années.

Je déclare que je ne souhaite pas effectuer un changement aussi important sans une enquête approfondie. Il a exprimé sa compréhension et m'a encouragé à faire des recherches approfondies, tout en me soutenant pour que je contacte d'abord l'opérateur afin de prévenir l'échange de SIM. Il a dit qu'il rappellerait dans 30 minutes pour continuer les étapes suivantes. Après avoir raccroché, j'ai immédiatement reçu un SMS confirmant cet appel et le rendez-vous.

Rappel et "Vault"

Après avoir confirmé qu'il n'y avait aucune tentative de transfert de SIM chez l'opérateur, j'ai immédiatement modifié tous les mots de passe de mon compte. Mason a rappelé comme convenu, nous avons commencé à discuter de la prochaine étape.

À ce moment-là, j'ai vérifié que "Vault" est bien un service réel proposé par la plateforme, il s'agit d'un plan de garde qui améliore la sécurité grâce à une autorisation multi-signature et un délai de retrait de 24 heures, mais ce n'est pas un véritable portefeuille froid auto-géré.

Mason a ensuite envoyé un lien de domaine apparemment pertinent, affirmant qu'il était possible de vérifier les paramètres de sécurité discutés lors du premier appel. Une fois la vérification terminée, il est possible de transférer des actifs dans le Vault, à ce moment-là, mes compétences en cybersécurité ont enfin porté leurs fruits.

Après avoir entré le numéro de cas qu'il a fourni, la page ouverte affiche ce qu'on appelle "Connexion API supprimée" et le bouton "Créer un coffre-fort". J'ai immédiatement vérifié le certificat SSL du site, découvrant que ce domaine enregistré depuis seulement un mois n'avait aucun lien avec la plateforme. Bien que les certificats SSL puissent généralement créer une illusion de légitimité, les certificats d'entreprises légitimes ont tous une appartenance claire, cette découverte m'a immédiatement poussé à arrêter mes opérations.

Les plateformes réglementées indiquent clairement qu'elles n'utiliseront jamais de noms de domaine non officiels. Même en utilisant des services tiers, cela devrait prendre la forme d'un sous-domaine. Toute opération liée au compte doit être effectuée via l'application ou le site officiel.

J'ai exprimé mes doutes à Mason, en insistant sur le fait que je ne souhaite opérer que via l'application officielle. Il a soutenu que les opérations via l'application entraîneraient un délai de 48 heures, alors que le compte serait verrouillé après 24 heures. J'ai de nouveau refusé de prendre une décision hâtive, il a donc indiqué qu'il allait faire remonter le cas à l'"équipe de support de niveau 3" pour essayer de rétablir ma protection de compte avancée.

Après avoir raccroché, je continue de vérifier la sécurité des autres comptes, l'inquiétude devient de plus en plus forte.

​​Le "livre de recettes" des arnaques de phishing Coinbase : un retour sur une attaque qui a même fait frémir les experts et un guide de prévention contre la fraude​​

"Équipe de support de niveau 3" appel

Environ une demi-heure plus tard, un numéro du Texas a appelé. Un autre interlocuteur avec un accent américain s'est présenté comme enquêteur de niveau 3, traitant ma demande de rétablissement de compte. Il a affirmé qu'il fallait une période de révision de 7 jours, pendant laquelle le compte n'était toujours pas assuré. Il a également "gentiment" suggéré d'ouvrir plusieurs Vaults pour différents actifs en chaîne, semblant professionnel, mais n'ayant jamais mentionné d'actifs spécifiques, se contentant de faire référence de manière vague à "Ethereum, Bitcoin, etc.".

Il a mentionné qu'il demanderait au département juridique d'envoyer les enregistrements de chat, puis a commencé à faire la promotion de Vault. Comme alternative, il a recommandé un portefeuille tiers appelé SafePal, bien que SafePal soit un véritable portefeuille matériel, cela semble clairement être un prélude à une arnaque.

Lorsque j'ai de nouveau remis en question le nom de domaine suspect, l'autre partie a tenté d'apaiser mes doutes. À ce stade, l'attaquant a peut-être réalisé qu'il était difficile de réussir et a finalement abandonné cette tentative de phishing.

Contacter le véritable service client de la plateforme

Après avoir terminé l'appel avec le deuxième faux agent, j'ai immédiatement soumis une demande par les canaux officiels. Un véritable représentant du service client a rapidement confirmé qu'il n'y avait aucune connexion anormale ou demande de réinitialisation de mot de passe sur mon compte.

Il a suggéré de verrouiller le compte immédiatement et de rassembler les détails de l'attaque pour les soumettre à l'équipe d'enquête. J'ai fourni tous les noms de domaine frauduleux, les numéros de téléphone et les voies d'attaque, en posant particulièrement des questions sur les droits d'envoi d'adresses e-mail qui semblent officielles. Le service client a reconnu que c'était très grave et a promis que l'équipe de sécurité enquêterait en profondeur.

Lorsque vous contactez le service client de l'échange ou du dépositaire, assurez-vous de passer par les canaux officiels. Une entreprise légitime ne contactera jamais les utilisateurs de manière proactive.

Résumé d'expérience

Bien que j'aie eu de la chance de ne pas me faire avoir, en tant qu'ancien professionnel de la cybersécurité, cette expérience où j'ai failli tomber dans le piège me rend profondément inquiet. Si ce n'était pas pour ma formation professionnelle, j'aurais probablement été trompé. Si c'était simplement un appel d'un inconnu, je l'aurais directement raccroché. C'est précisément grâce aux actions en chaîne soigneusement conçues par les attaquants, qui créent un sentiment d'urgence et d'autorité, que cette tentative de phishing est devenue si dangereuse.

J'ai résumé les signaux d'alerte suivants et les recommandations de protection, j'espère que cela pourra aider les investisseurs à sécuriser leurs fonds dans l'environnement réseau actuel.

signal de danger

La collaboration des fausses alertes crée le chaos et l'urgence

L'attaquant commence par échanger des alertes de cartes SIM et des demandes de codes de vérification à usage unique provenant de plusieurs services ( envoyés simultanément par SMS et par des applications de messagerie instantanée ), créant intentionnellement l'illusion que plusieurs plateformes sont attaquées en même temps. Ces informations peuvent probablement être déclenchées simplement en obtenant mon numéro de téléphone et mon adresse e-mail, qui sont facilement accessibles. À ce stade, je pense que l'attaquant n'a pas encore accès à des données de compte plus profondes.

Utilisation mixte de codes courts et de numéros de téléphone ordinaires

Les informations de phishing sont envoyées par une combinaison de codes courts SMS et de numéros de téléphone réguliers. Bien que les entreprises utilisent généralement des codes courts pour la communication officielle, les attaquants peuvent falsifier ou recycler ces codes courts. Cependant, il est important de noter que les services légitimes n'utilisent jamais de numéros de téléphone ordinaires pour envoyer des alertes de sécurité. Les messages provenant de numéros de longueur standard doivent toujours être considérés avec suspicion.

Exigence d'opérer via des noms de domaine non officiels ou inconnus

L'attaquant me demande d'accéder

Voir l'original
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
  • Récompense
  • 6
  • Partager
Commentaire
0/400
BrokenDAOvip
· Il y a 28m
Oh, encore un expert ordinaire devenu un cas, prouvant que le coût de la confiance existe toujours.
Voir l'originalRépondre0
PrivacyMaximalistvip
· Il y a 14h
Le paradoxe de la sécurité de l'information~ Peu importe combien on apprend, on ne peut pas supporter.
Voir l'originalRépondre0
SnapshotDayLaborervip
· 07-13 01:14
Tout le réseau n'est plus sûr, je panique.
Voir l'originalRépondre0
GateUser-a606bf0cvip
· 07-13 01:14
Je suis impressionné, le pro peut aussi se tromper ?
Voir l'originalRépondre0
LiquidationWatchervip
· 07-13 01:14
C'est trop cruel, même les experts se sont fait avoir.
Voir l'originalRépondre0
RektButSmilingvip
· 07-13 01:00
Personne ne peut arrêter le Hacker.
Voir l'originalRépondre0
  • Épingler
plan du site
Trader les cryptos partout et à tout moment
qrCode
Scan pour télécharger Gate app
Communauté
Français (Afrique)
  • 简体中文
  • English
  • Tiếng Việt
  • 繁體中文
  • Español
  • Русский
  • Français (Afrique)
  • Português (Portugal)
  • Bahasa Indonesia
  • 日本語
  • بالعربية
  • Українська
  • Português (Brasil)
    • À propos de nousCarrièresNewsroomPartenairesConsulter les clauses contractuellesAvertissement Consulter les clauses contractuelles et notre Politique de confidentialitéPolitique des cookiesKit médiaPreuve de réserve à 100%LicenseSécuritéGateToken (GT)Gate ChainCalendrierApplication de la loiSommetsGate Ventures
    AcheterVendreSpot TradingTrading FuturesMargeTokens à effet de levierNFTGate PayGate LifeGift CardGate OTCGate CharityGate CardBoutique GateHodl & Earn Prêt Crypto
    Avantages VIPInstitutionnelCommentaires des utilisateursAnnoncesFraisAideEnvoyer une demandeListingVérifiez la sécurité d'un smart contractDéveloppeursRecherche de vérificationApplication pour les marchands P2PApplication Blue V P2PProgramme d'affiliationCalendrier CryptoSolution Cross-Chain de
    Gate LearnCours cryptoGlossaire des cryptomonnaiesCours des cryptomonnaiesBig DataHalving du BitcoinCrypto Wiki
    Gate © 2013-2025.