Comment éviter les arnaques courantes sur les appareils mobiles ?

Notions de base

Les appareils mobiles sont devenus une cible de choix pour les cybercriminels qui cherchent à escroquer les utilisateurs de cryptomonnaies. Cette tendance est apparue en 2017, une année marquée par une croissance explosive de la valeur des cryptomonnaies, suscitant une couverture médiatique importante et un intérêt généralisé. Toutefois, cette montée en popularité a aussi attiré l'attention de criminels qui privilégient les cryptos en raison de leur quasi-anonymat, leur permettant de contourner les systèmes bancaires traditionnels et d'échapper à la surveillance réglementaire.

Les smartphones sont une cible particulièrement attirante pour ces arnaqueurs, car les gens y passent plus de temps que sur un ordinateur de bureau. En conséquence, les cybercriminels ont mis au point des tactiques sophistiquées pour tromper les utilisateurs mobiles et voler leurs avoirs en cryptomonnaies.

Pour se protéger, les utilisateurs peuvent prendre quelques mesures. Tout d'abord, ils doivent rester vigilants et éviter de cliquer sur des liens suspects ou de télécharger des applications non vérifiées. Ils doivent aussi activer l'authentification à deux facteurs (2FA) et sauvegarder régulièrement leurs portefeuilles. En suivant ces précautions, les utilisateurs de cryptomonnaies peuvent protéger leurs investissements et garder une longueur d'avance sur les cybercriminels.

Applications crypto factices

Faux apps d'échange de cryptomonnaies 

Méfiez-vous des applications d'échange de cryptomonnaies frauduleuses, de plus en plus répandues. Poloniex en est un exemple connu, ayant été ciblé par de fausses applications avant le lancement de son application mobile officielle de trading en juillet 2018. Ces applications étaient conçues pour fonctionner comme l'original, et de nombreux utilisateurs qui les ont téléchargées se sont fait voler leurs identifiants et leurs cryptomonnaies. Certaines fausses apps demandaient même l'accès aux comptes Gmail des utilisateurs, mais seules les personnes sans authentification à deux facteurs (2FA) ont été compromises.

Pour éviter ces escroqueries, suivez les étapes suivantes :

• Vérifiez que la plateforme propose bien une application mobile en consultant son site officiel et en suivant le lien fourni.
• Lisez attentivement les avis et les notes. Les applications frauduleuses ont souvent de nombreux avis négatifs signalant des arnaques, mais méfiez-vous aussi des apps n'ayant que des avis positifs.
• Vérifiez les informations du développeur de l'application, y compris la légitimité de l'entreprise, l'adresse e-mail et le site web. Effectuez une recherche en ligne pour confirmer leur affiliation avec l'échange officiel.
• Considérez le nombre de téléchargements. Un échange réputé devrait afficher un grand nombre de téléchargements.
• Activez la 2FA sur vos comptes. Bien que cela ne soit pas infaillible, la 2FA rend beaucoup plus difficile l'accès aux fonds pour les arnaqueurs, même s'ils possèdent vos identifiants.

Faux portefeuilles crypto 

Méfiez-vous des fausses applications de portefeuilles de cryptomonnaies qui peuvent voler vos informations personnelles, comme les mots de passe et les clés privées. Ces apps fournissent aux utilisateurs des adresses publiques que ceux-ci considèrent comme légitimes, mais elles n'ont pas accès aux clés privées nécessaires pour dépenser les fonds envoyés à ces adresses. Malheureusement, de nombreux utilisateurs ont perdu leurs fonds à cause de ces faux portefeuilles, créés pour des cryptomonnaies populaires.

Pour éviter d'en être victime, suivez les précautions décrites dans la section sur les applications d'échange ci-dessus, comme vérifier les informations du développeur et le nombre de téléchargements, et activer la 2FA. De plus, assurez-vous que des adresses toutes neuves sont générées lors de la première ouverture de l'application et que vous détenez les clés privées ou la phrase seed. Une application de portefeuille légitime permet d'exporter les clés privées, mais vous devriez utiliser un logiciel réputé, de préférence open source, pour générer de nouvelles paires de clés afin de minimiser les risques de compromission. Enfin, vérifiez si les adresses publiques peuvent être dérivées et accessibles à partir des clés privées ou des seeds. Pour cela, effectuez cette vérification sur un ordinateur isolé (air-gapped) déconnecté d'Internet afin de réduire au minimum les risques de compromission des clés et des seeds.

Applications de cryptojacking 

Les cybercriminels ont recours au cryptojacking comme moyen facile et peu coûteux de gagner de l'argent. Les appareils mobiles deviennent de plus en plus vulnérables à ce type d'attaque. Les escrocs créent des programmes déguisés en applications légitimes, comme des jeux ou des utilitaires, qui minent secrètement des cryptomonnaies en arrière-plan. Certaines applications prétendent être des mineurs légitimes, mais les récompenses vont aux développeurs plutôt qu'aux utilisateurs. Pour éviter d'être détectées, ces apps utilisent souvent des algorithmes de minage peu gourmands.

Le cryptojacking peut endommager votre appareil et l'exposer à d'autres types de logiciels malveillants. Pour vous protéger :

1. Téléchargez uniquement des applications depuis des boutiques officielles comme Google Play, car les applications piratées ont plus de chances de contenir des scripts de cryptojacking.
2. Surveillez les signes de drain excessif de la batterie ou de surchauffe, qui peuvent indiquer qu'une application pratique le cryptojacking. Si vous détectez cela, fermez l'application.
3. Maintenez votre appareil et vos applications à jour, car les correctifs de sécurité peuvent combler des vulnérabilités exploitées par les cybercriminels.
4. Utilisez un navigateur qui protège contre le cryptojacking ou installez des extensions de navigateur réputées, comme MinerBlock, NoCoin et Adblock.
5. Envisagez d'installer un antivirus mobile et maintenez-le à jour pour protéger votre appareil contre le cryptojacking et d'autres types de malware.

Faux applications de minage 

Il est courant de tomber sur des applications prétendant miner des cryptomonnaies pour leurs utilisateurs, alors qu'en réalité elles ne servent qu'à afficher des publicités. Ces applications incitent les utilisateurs à les laisser ouvertes en affichant de faux gains croissants au fil du temps. Certaines encouragent même à laisser des notes 5 étoiles en échange de récompenses, alors qu'elles ne minent aucune cryptomonnaie et que les utilisateurs ne reçoivent jamais de récompense.

Il est important de savoir que le minage de cryptomonnaies nécessite généralement du matériel spécialisé (ASICs), ce qui rend le minage sur un appareil mobile impossible ou insignifiant. Toute quantité prétendument minée via ces applications serait négligeable au mieux. Il est donc préférable d'éviter totalement ce type d'applications.

Applications clipper 

Pour éviter de devenir victime des applications clipper, vous devez prendre des précautions lors du traitement de transactions en cryptomonnaies. Les apps clipper sont conçues pour remplacer l'adresse du destinataire légitime par celle de l'attaquant, poussant la victime à envoyer des fonds sans le savoir à l'arnaqueur.

Pour éviter ce type de fraude, vérifiez toujours deux ou trois fois l'adresse du destinataire que vous collez avant de finaliser la transaction. Les opérations sur blockchain étant irréversibles, il est crucial d'être prudent.

Il est également essentiel de vérifier l'adresse entière et pas seulement des portions, car certaines applications peuvent coller des adresses visuellement proches de l'adresse prévue. En confirmant l'adresse complète, vous vous assurez que le bon destinataire reçoit les fonds.

SIM swapping 

Le SIM swapping est une arnaque où un cybercriminel utilise des techniques d'ingénierie sociale pour obtenir une nouvelle carte SIM pour le numéro de téléphone d'un utilisateur. L'utilisateur peut ne pas se rendre compte que sa carte SIM a été remplacée. Michael Terpin est un exemple de victime de cette arnaque, affirmant qu'AT&T (une entreprise américaine de télécommunications) est responsable de la perte de jetons d'une valeur de plus de 20 millions de dollars américains.

Les cybercriminels peuvent contourner l'authentification à deux facteurs (2FA) basée sur le numéro de téléphone pour accéder aux portefeuilles et aux plateformes d'échange de cryptomonnaies. Ils peuvent aussi surveiller les communications SMS pour intercepter le code 2FA.

Cette attaque est particulièrement préoccupante car les utilisateurs n'ont pas besoin de télécharger de logiciel malveillant ni de cliquer sur un lien dangereux.

Pour vous protéger contre le SIM swapping, il est recommandé d'utiliser une application comme Google Authenticator ou Authy pour la 2FA. Vous pouvez aussi utiliser une 2FA matérielle comme YubiKey ou la clé de sécurité Titan de Google. Évitez également de divulguer des informations personnelles identifiables, y compris votre numéro de téléphone mobile, sur les réseaux sociaux. Ne révélez pas que vous possédez des cryptomonnaies sur les réseaux sociaux et prenez des dispositions auprès de votre opérateur mobile pour protéger votre compte.

Quel WiFi utilisez-vous sur votre téléphone mobile ?

La sécurité des appareils mobiles est primordiale pour les utilisateurs de cryptomonnaies, et l'accès WiFi peut constituer un point d'entrée potentiel pour les cybercriminels. Le WiFi public, en particulier, est connu pour être peu sécurisé et peut exposer les utilisateurs au risque de fuite de données. Pour prévenir cela, les utilisateurs doivent prendre les précautions nécessaires avant de se connecter à un WiFi public.

Conclusion

À mesure que les téléphones mobiles deviennent une partie intégrante de nos vies, ils sont étroitement liés à notre identité numérique, ce qui en fait une cible privilégiée pour les cybercriminels. Par conséquent, sécuriser vos appareils mobiles n'est plus un choix mais une nécessité pour prévenir d'éventuelles failles de sécurité. Prenez les précautions nécessaires et assurez-vous que vos appareils mobiles sont protégés pour rester à l'abri des menaces en ligne.