Gli aggressori hanno aggirato la 2FA di Coinbase e MetaMask tramite TeamViewer e una finta chat di supporto

Les cibles qui se rendent sur le site d’hameçonnage sont accueillies par une fenêtre de chat qui semble être destinée au “support client”, mais qui est en fait gérée par un escroc qui guide les utilisateurs à travers un système de fraude en plusieurs étapes.

Depuis que le groupe de menace a ciblé Coinbase en 2021, PIXM a gardé un œil sur cette campagne. Selon les analystes de PIXM, le champ d’action de la campagne a récemment été étendu à MetaMask, Crypto.com et KuCoin.

Contournement de 2FA

Les faux sites de phishing d’échange de crypto commencent l’attaque par un faux formulaire de connexion, qui est ensuite suivi d’une demande d’authentification à deux facteurs.

Les informations d’identification saisies lors de cette étape n’auront aucune importance ; les acteurs de la menace les voleront quand même. L’invite de la page suivante demande le code 2FA nécessaire pour accéder au compte.

Les attaquants testent les informations d’identification saisies sur le site réel, ce qui amène la victime à recevoir un code 2FA, qui saisit ensuite un 2FA légitime sur le site de phishing.

S’ils agissent avant l’expiration du délai, les acteurs de la menace tentent alors de se connecter au compte de la victime en utilisant le code 2FA saisi.

Il convient de noter que les phrases de récupération, plutôt que les informations d’identification ou les codes 2FA, sont la cible des attaques de phishing MetaMask.

Chatter avec les escrocs

Les chercheurs affirment qu’indépendamment de la réussite du code 2FA, les escrocs commencent la phase d’assistance par chat à l’écran de l’attaque.

Pour ce faire, ils présentent un faux message d’erreur demandant au visiteur de contacter l’assistance pour remédier au problème et indiquant que le compte a été suspendu en raison d’une activité suspecte.

Dans ce chat d’assistance, les acteurs de la menace engagent la conversation avec la victime ciblée pour la garder sous la main au cas où des informations de connexion supplémentaires, une phrase de récupération ou un code 2FA seraient nécessaires.

Selon le dernier rapport de PIXM, “ils demanderont à l’utilisateur son nom d’utilisateur, son mot de passe et son code d’authentification 2-Facteurs directement dans le chat.”

Ensuite, le criminel utilisera un navigateur sur son ordinateur pour tenter d’accéder une nouvelle fois au compte de l’utilisateur.

Pour les comptes qui ont été compromis avec succès, la victime reste en contact avec le service clientèle au cas où elle aurait besoin de confirmer des transferts de fonds pendant que les voleurs volent leur argent.

Les acteurs de la menace utilisent une méthode alternative pour authentifier leur appareil comme “digne de confiance” pour la plateforme de crypto-monnaie lorsqu’ils ne parviennent pas à accéder aux comptes via le chat d’assistance.

Ruse à distance

Les attaquants persuadent la victime de télécharger et d’installer l’application d’accès à distance “TeamViewer” afin de contourner l’obstacle de l’appareil authentifié.

Les victimes sont ensuite invitées à se connecter à leurs portefeuilles de crypto-monnaies ou à leurs comptes d’échange, et c’est à ce moment-là que les acteurs de la menace insèrent un caractère aléatoire pour empêcher la réussite de la connexion.

L’attaquant demande ensuite à la victime de coller son mot de passe dans le chat TeamViewer, se connecte à son appareil en utilisant ce mot de passe (moins le caractère aléatoire) et vole le lien d’authentification de l’appareil qui a été envoyé à la victime.

Une fois que les acteurs de la menace ont accès au compte ou au portefeuille, ils le vident de tous les fonds tout en continuant à engager la victime dans le chat d’assistance.

Il est crucial de toujours prêter attention à l’adresse e-mail de l’expéditeur et à toute URL envoyée pour éviter d’être victime d’escroqueries dans des attaques comme celles-ci.

Vous devez immédiatement marquer l’email comme suspect et le supprimer si ces URL ne correspondent pas à la plateforme de crypto-monnaie.

Un échange de crypto-monnaies ne sera pas en mesure de récupérer vos fonds une fois qu’ils auront été transférés de votre portefeuille si vous tombez dans l’une de ces escroqueries, ce qui est regrettable.

L’image des plateformes de crypto monnaies

Il y a de celà 2 semaine une des plus grosse plateforme (FTX) a fait faillite. Elle emporte avec elle des centaines de millions de dollars perdu à tout jamais par les investisseurs. Les experts en cryptomonnaies recommande pour l’heure actuelle de ne plus utiliser ce genre de plateforme mais de conserver les crypto monnaies sur des portefeuille de type “Non Custodial”.

Ce type de portefeuille permet de posséder véritablement ses crypto monnaies puisque vous possédez la “seed phrase” de votre portefeuille. Elle permet de retrouver l’accès à vos cryptomonnaies.

En cherchant un peu nous avons découvert qu’il existe une marque Française qui propose ce type de portefeuille. Ledger est une société spécialisée des les portefeuilles crypto de type “cold wallet”. Le Ledger permet de valider manuellement et physiquement les transactions sur les blockchains mais aussi de conserver à froid vos cryptos. En effet le Ledger ressemble à une clé USB qui doit se brancher sur votre ordinateur.

Il est donc possible de la débrancher et donc de ne pas exposer votre clé à Internet, zone de tous les dangers.

Pour les intéressés la firme Française propose des codes promo pour le Ledger Nano X et le Ledger Nano S , vous pouvez en savoir plus sur ce site.