Les attaques d'ingénierie sociale deviennent une menace majeure pour la sécurité des actifs en chiffrement

Ces dernières années, les attaques d'ingénierie sociale ciblant les utilisateurs de chiffrement sont devenues de plus en plus fréquentes, constituant une menace sérieuse pour la sécurité des actifs. Depuis 2025, des incidents de fraude par ingénierie sociale visant les utilisateurs d'une plateforme d'échange bien connue se sont multipliés, suscitant une large attention dans l'industrie. D'après les discussions dans la communauté, ces incidents ne sont pas des cas isolés, mais plutôt un type de fraude organisé et durable.

Le 15 mai, cette plateforme de trading a publié un communiqué confirmant les précédentes spéculations concernant la présence de "taupes" sur la plateforme. Le ministère américain de la Justice a ouvert une enquête sur cet incident de fuite de données.

Cet article rassemblera les informations fournies par plusieurs chercheurs en sécurité et victimes, révélant les principales méthodes utilisées par les fraudeurs, et explorera comment y faire face efficacement du point de vue des plateformes et des utilisateurs.

Analyse historique

Le détective en chaîne Zach a déclaré dans une mise à jour sur les réseaux sociaux le 7 mai : "Au cours de la seule semaine dernière, plus de 45 millions de dollars ont été volés à des utilisateurs d'une certaine plateforme de trading en raison d'escroqueries par ingénierie sociale."

Au cours de l'année dernière, Zach a plusieurs fois révélé des cas de vol d'utilisateurs sur la plateforme, certains victimes ayant perdu jusqu'à des millions de dollars. Une enquête détaillée publiée par lui en février 2025 montre que, seulement entre décembre 2024 et janvier 2025, le montant total des fonds volés en raison de scams similaires a déjà dépassé 65 millions de dollars. La plateforme est confrontée à une grave crise de "fraude sociale", ce type d'attaque portant atteinte à la sécurité des actifs des utilisateurs à un rythme annuel de 300 millions de dollars. Zach a également souligné :

• Les groupes qui mènent ce type d'escroquerie se divisent principalement en deux catégories : la première est constituée de fauteurs de troubles de bas niveau venant de certains cercles, l'autre est constituée d'organisations criminelles en ligne situées en Inde ;
• Les cibles des attaques des groupes de fraude sont principalement des utilisateurs américains, avec des méthodes d'opération standardisées et un processus de discours mature ;
• Le montant réel des pertes peut être beaucoup plus élevé que les statistiques visibles sur la chaîne, car il n'inclut pas les informations non publiques telles que les tickets de support client et les rapports de police non accessibles.

Méthodes de fraude

Lors de cet événement, le système technique de la plateforme n'a pas été compromis, les fraudeurs ont utilisé les autorisations des employés internes pour obtenir certaines informations sensibles des utilisateurs. Ces informations comprennent : nom, adresse, coordonnées, données de compte, photos de carte d'identité, etc. L'objectif final des fraudeurs est d'utiliser des techniques d'ingénierie sociale pour inciter les utilisateurs à effectuer un virement.

Ce type d'attaque a modifié les méthodes de phishing traditionnelles en "filet", passant à des "frappes de précision", ce qui peut être qualifié de fraude sociale "sur mesure". Le chemin typique de l'infraction est le suivant :

1. Contacter l'utilisateur en tant que "service client officiel"

Les escrocs utilisent des systèmes téléphoniques falsifiés pour se faire passer pour le service client de la plateforme, appelant les utilisateurs en disant que leur "compte a subi une connexion illégale" ou "une anomalie de retrait a été détectée", créant une ambiance d'urgence. Ils envoient ensuite de faux e-mails ou SMS de phishing, contenant de faux numéros de ticket ou des liens vers des "processus de récupération", et guident les utilisateurs à agir. Ces liens peuvent pointer vers des interfaces de plateforme clonées, et peuvent même envoyer des e-mails semblant provenir de noms de domaine officiels, certains e-mails utilisant des techniques de redirection pour contourner les protections de sécurité.

2. Guide l'utilisateur à télécharger le portefeuille officiel

Les escrocs utiliseront le prétexte de "sécurité des actifs" pour inciter les utilisateurs à transférer des fonds vers un "portefeuille sécurisé". Ils aideront également les utilisateurs à installer le portefeuille officiel et les guideront pour transférer les actifs qui étaient initialement détenus sur la plateforme vers un nouveau portefeuille créé.

3. Induire les utilisateurs à utiliser les mots de passe fournis par les escrocs

Contrairement à la "récupération de mnémotechniques" traditionnelle, les escrocs fournissent directement un ensemble de mnémotechniques qu'ils ont générées eux-mêmes, incitant les utilisateurs à les utiliser comme "nouveau portefeuille officiel".

4. Les escrocs effectuent des vols de fonds

Les victimes, dans un état de tension, d'anxiété et de confiance envers le "service client", tombent facilement dans le piège. Pour elles, un nouveau portefeuille "fourni par les autorités" semble naturellement plus sûr qu'un ancien portefeuille "susceptible d'avoir été piraté". Le résultat est qu'une fois les fonds transférés dans ce nouveau portefeuille, les escrocs peuvent immédiatement les retirer. "Des clés que vous ne contrôlez pas signifient des actifs que vous ne possédez pas" - cette idée a encore été brutalement confirmée dans les attaques d'ingénierie sociale.

De plus, certains courriels de phishing prétendent que "en raison d'un jugement de recours collectif, la plateforme va complètement migrer vers des portefeuilles autogérés" et demandent aux utilisateurs de compléter la migration des actifs avant une date spécifique. Sous la pression d'un délai urgent et de l'influence psychologique de "l'instruction officielle", les utilisateurs sont plus susceptibles de se conformer à l'opération.

Selon des chercheurs en sécurité, ces attaques sont souvent planifiées et mises en œuvre de manière organisée :

• Outils de fraude perfectionnés : les escrocs utilisent des systèmes PBX pour falsifier les numéros de téléphone et simuler des appels du service client officiel. Lors de l'envoi de courriels de phishing, ils se servent de robots sur les plateformes sociales pour imiter les adresses électroniques officielles, accompagnés d'un "guide de récupération de compte" qui incite au transfert.
• Cible précise : Les escrocs s'appuient sur des données utilisateur volées achetées via des plateformes sociales et le dark web, ciblant principalement les utilisateurs de la région américaine. Ils utilisent même l'IA pour traiter les données volées, segmentant et recomposant les numéros de téléphone, générant en masse des fichiers TXT, puis utilisant des logiciels de piratage pour envoyer des SMS frauduleux.
• Processus d'escroquerie cohérent : des appels téléphoniques, des SMS aux e-mails, le chemin de l'escroquerie est généralement sans couture. Les formulations de phishing courantes comprennent "demande de retrait reçue sur le compte", "mot de passe a été réinitialisé", "connexion anormale au compte" et ainsi de suite, incitant continuellement la victime à effectuer une "vérification de sécurité" jusqu'à ce que le transfert de portefeuille soit terminé.

Analyse on-chain

Grâce au système de traçage et de lutte contre le blanchiment d'argent en chaîne, une analyse de certaines adresses de fraudeurs a été effectuée, révélant que ces fraudeurs possèdent une forte capacité d'opération en chaîne. Voici quelques informations clés :

Les cibles des attaques des escrocs couvrent une variété d'actifs détenus par les utilisateurs. La période d'activité de ces adresses est concentrée entre décembre 2024 et mai 2025, les actifs ciblés étant principalement le BTC et l'ETH. Le BTC est actuellement la principale cible de fraude, avec plusieurs adresses réalisant des bénéfices allant jusqu'à plusieurs centaines de BTC en une seule fois, chaque transaction valant plusieurs millions de dollars.

Après l'obtention des fonds, les escrocs utilisent rapidement un processus de lavage pour échanger et transférer les actifs. Le modèle principal est le suivant :

• Les actifs de type ETH sont souvent échangés rapidement contre DAI ou USDT via un DEX, puis transférés de manière dispersée vers plusieurs nouvelles adresses, certains actifs étant envoyés vers des plateformes de trading centralisées ;
• BTC est principalement transféré sur Ethereum via un protocole inter-chaînes, puis échangé contre DAI ou USDT, afin d'éviter les risques de traçabilité.

Plusieurs adresses de fraude restent en "situation de repos" après avoir reçu des DAI ou des USDT, sans avoir été transférées.

Pour éviter que votre adresse n'interagisse avec des adresses suspectes, ce qui pourrait entraîner un risque de gel des actifs, il est conseillé aux utilisateurs d'utiliser un système de détection des risques de blanchiment d'argent et de traçage sur la chaîne avant de réaliser une transaction, afin d'éviter efficacement les menaces potentielles.

Mesures de réponse

plateforme

Les méthodes de sécurité actuellement mainstream sont davantage des protections au niveau "technique", tandis que les escroqueries par ingénierie sociale contournent souvent ces mécanismes, frappant directement les vulnérabilités psychologiques et comportementales des utilisateurs. Par conséquent, il est recommandé aux plateformes d'intégrer l'éducation des utilisateurs, la formation à la sécurité et la conception de l'utilisabilité, afin d'établir un ensemble de "lignes de défense axées sur l'humain".

• Envoi régulier de contenu éducatif sur la fraude : améliorer la capacité des utilisateurs à se défendre contre le phishing par le biais de fenêtres contextuelles de l'application, d'écrans de confirmation de transaction, d'e-mails, etc.
• Optimiser le modèle de gestion des risques en introduisant "la reconnaissance interactive des comportements anormaux" : la plupart des arnaques par ingénierie sociale incitent l'utilisateur à effectuer une série d'opérations (comme le transfert, le changement de liste blanche, la liaison d'appareils, etc.) dans un court laps de temps. La plateforme doit identifier les combinaisons d'interactions suspectes sur la base d'un modèle de chaîne de comportements (comme "interactions fréquentes + nouvelle adresse + retrait important"), déclenchant une période de réflexion ou un mécanisme de révision manuelle.
• Normaliser les canaux de service client et les mécanismes de vérification : les fraudeurs se font souvent passer pour des agents de service client afin de duper les utilisateurs. La plateforme doit unifier les modèles d'appels, de SMS et d'emails, et fournir un "point d'entrée de vérification du service client", en précisant le seul canal de communication officiel pour éviter toute confusion.

utilisateur

• Mise en œuvre d'une stratégie d'isolement des identités : éviter de partager la même adresse e-mail ou le même numéro de téléphone sur plusieurs plateformes afin de réduire les risques connexes. Il est possible d'utiliser des outils de vérification des fuites pour contrôler régulièrement si l'adresse e-mail a été compromise.
• Activer la liste blanche de transfert et le mécanisme de refroidissement des retraits : définir des adresses de confiance pour réduire le risque de perte de fonds en cas d'urgence.
• Restez attentif aux informations de sécurité : par le biais d'entreprises de sécurité, des médias, des plateformes de trading, etc., informez-vous sur les dernières tendances des techniques d'attaque et restez vigilant. Actuellement, certaines agences de sécurité lancent une plateforme d'exercice de phishing Web3, qui simulera plusieurs techniques de phishing typiques, y compris l'empoisonnement social, le phishing par signature, les interactions avec des contrats malveillants, etc., et mettra à jour en continu le contenu des scénarios en se basant sur de vrais cas recueillis lors de discussions historiques. Cela permettra aux utilisateurs d'améliorer leur capacité à reconnaître et à réagir dans un environnement sans risque.
• Attention aux risques hors ligne et à la protection de la vie privée : la divulgation d'informations personnelles peut également entraîner des problèmes de sécurité personnelle.

Depuis le début de l'année, les professionnels/utilisateurs du chiffrement ont été confrontés à plusieurs incidents menaçant leur sécurité personnelle. Étant donné que les données divulguées comprennent des noms, adresses, informations de contact, données de compte, photos de carte d'identité, les utilisateurs concernés doivent également rester vigilants hors ligne et faire attention à leur sécurité.

En résumé, restez sceptique et vérifiez continuellement. Pour toute opération urgente, demandez toujours à l'autre partie de prouver son identité et vérifiez indépendamment par des canaux officiels afin d'éviter de prendre des décisions irréversibles sous pression.

Résumé

Cet événement met de nouveau en lumière les lacunes évidentes de l'industrie en matière de protection des données clients et des actifs face à des méthodes d'attaque par ingénierie sociale de plus en plus sophistiquées. Il est important de rester vigilant, car même si les postes pertinents sur la plateforme n'ont pas de pouvoirs financiers, un manque de sensibilisation suffisante à la sécurité et de compétences peut également entraîner des conséquences graves en raison de fuites involontaires ou de manipulations. Avec l'expansion continue de la plateforme, la complexité de la gestion de la sécurité du personnel augmente, devenant l'un des risques les plus difficiles à surmonter dans l'industrie. Par conséquent, tout en renforçant les mécanismes de sécurité sur la chaîne, la plateforme doit également construire systématiquement un "système de défense contre l'ingénierie sociale" qui couvre le personnel interne et les services externalisés, intégrant ainsi le risque humain dans la stratégie de sécurité globale.

De plus, une fois qu'une attaque est identifiée comme n'étant pas un événement isolé, mais plutôt une menace continue et organisée, la plateforme doit réagir immédiatement, en vérifiant proactivement les vulnérabilités potentielles, en avertissant les utilisateurs de la prévention et en contrôlant l'étendue des dommages. Ce n'est qu'en répondant à la fois sur le plan technique et organisationnel que nous pourrons vraiment préserver la confiance et les limites dans un environnement de sécurité de plus en plus complexe.