Avec des millions de dollars d’actifs perdus à cause d’attaques de phishing après la signature d’autorisations malveillantes, la menace de perdre des actifs cryptographiques à partir de liens douteux est bien réelle. Lorsque ceux-ci sont associés à des plateformes autorisant des liens cachés, les utilisateurs sont soumis à un autre type de risque.
Le 4 septembre, le fournisseur de sécurité Web3 Pocket Universe a expliqué comment les escrocs pouvaient masquer les liens drainant le portefeuille sur n’importe quel texte de la plateforme de messagerie instantanée Discord. Bien que certains utilisateurs signalent que la fonctionnalité n’a été activé Pour les utilisateurs de Discord, la possibilité d’intégrer des liens sur n’importe quel texte est disponible depuis un certain temps déjà sur de nombreuses plateformes sociales différentes.
Les fraudeurs peuvent désormais masquer les liens dans n’importe quel texte Discord ☠️
Méfiez-vous des liens cachés qui drainent votre portefeuille
par exemple pic.twitter.com/mgqG18sOF9– Univers de poche (@PocketUniverseZ) 4 septembre 2023
Cointelegraph a contacté plusieurs professionnels de la cybersécurité pour en savoir plus sur la manière dont les utilisateurs peuvent se protéger contre de telles tentatives et sur la manière dont les plateformes peuvent améliorer leur sécurité afin que les utilisateurs ne soient pas soumis à de telles attaques.
Christian Seifert, chercheur en résidence au sein de la société de sécurité Web3 Forta Network, a déclaré que ce type d’attaque était le pain quotidien des pirates informatiques depuis la création d’Internet. Il a expliqué que :
« Quelle que soit la création d’une plateforme, il y aura un hacker prêt à trouver un moyen de la pirater. Les hyperliens avec du texte sont une fonctionnalité prise en charge dans le cadre du HTML et sont une source d’attaques de phishing depuis les débuts d’Internet.
Selon Seifert, la sécurité nécessite une approche de défense en profondeur. « Les plateformes et les utilisateurs doivent s’efforcer de se protéger », a-t-il déclaré. Du côté des utilisateurs, le professionnel de la sécurité a souligné qu’il existe des plugins qu’ils peuvent utiliser pour se protéger contre de telles escroqueries.
En ce qui concerne Discord, Seifert a souligné que la plateforme fournit des informations sur la véritable destination de l’URL une fois que l’utilisateur a cliqué dessus. Cependant, la plateforme permet également aux utilisateurs de « faire confiance » à un domaine à l’avenir. Selon Seifert, les escrocs peuvent en abuser. Il expliqua:
« Imaginez un domaine comme foo.bar auquel l’utilisateur a confiance. Un escroc peut créer un lien potentiellement malveillant qui effectue une action sur ce domaine, comme une demande oauth adressée à l’escroc, comme foo.bar/oauth/scammer-account.
Le professionnel de la cybersécurité a déclaré qu’un problème avec la mise en œuvre actuelle de la plateforme est que les liens et le texte peuvent être trompeurs et mal adaptés aux attentes des utilisateurs. « Si un lien texte ressemble clairement à un domaine ou à une URL et qu’il ne correspond pas à la véritable URL de destination, Discord devrait interdire ces liens », a-t-il ajouté.
En rapport: Les exploits, piratages et escroqueries ont volé près d’un milliard de dollars en 2023 : rapport
Pendant ce temps, Hugh Brooks, directeur des opérations de sécurité de la société de sécurité blockchain CertiK, a fait écho à certains des sentiments de Seifert. Selon Brooks, les utilisateurs et les plateformes ont la responsabilité collective de se méfier des acteurs malveillants. Il a expliqué qu’il est essentiel que les plateformes examinent et affinent continuellement leurs fonctionnalités de sécurité et que les utilisateurs restent vigilants et informés.
Pour les utilisateurs, Brooks a déclaré qu’ils devaient être proactifs et prudents en ce qui concerne les liens, en particulier lorsqu’on leur demande des signatures et des autorisations. L’exécutif a exhorté les utilisateurs à vérifier l’authenticité de l’adresse du site avant de lui donner accès aux portefeuilles cryptographiques. Brooks a partagé :
« Une bonne pratique consiste à recouper les adresses Web avec les listes d’avertissement de phishing reconnues. PhishTank, Google Safe Browsing et OpenPhish sont des ressources précieuses ici, ainsi que des extensions de navigateur comme HTTPS Everywhere et des bloqueurs de publicités comme uBlock.
Brooks a expliqué que ces outils peuvent alerter les utilisateurs en temps réel lorsqu’ils sont sur le point de visiter des sites Web de phishing ou malveillants connus. « De plus, en survolant simplement un lien URL, l’adresse Web réelle sera affichée, permettant aux utilisateurs de confirmer sa légitimité avant de s’engager davantage », a-t-il ajouté.
Du côté de la plateforme, le professionnel de la cybersécurité a déclaré qu’il existe des mesures qui peuvent être mises en œuvre comme par exemple ne pouvoir recevoir que des messages provenant de contacts de confiance. Brooks a déclaré qu’un bon exemple de ceci est « Facebook Protect » de Meta, qui permet aux utilisateurs de disposer de fonctionnalités de sécurité renforcées pour leurs comptes.
« Comme le dit le proverbe, la seule constante est le changement. Les plateformes doivent à leurs utilisateurs et à leur pertinence continue de faire de la sécurité une priorité. Cela implique non seulement de mettre à jour les mesures de sécurité, mais également de favoriser une culture de vigilance et de sensibilisation parmi les utilisateurs », a-t-il ajouté.
Revue: Les projets de cryptographie devraient-ils un jour négocier avec les pirates ? Probablement