Dix ans d’expérience en cybersécurité : une attaque de phishing sophistiquée

Introduction

Auteur : Christopher Rosa
Traduction : AididiaoJP, Foresight News

Au cours du week-end, des nouvelles ont éclaté concernant un ensemble de données massif contenant 16 milliards d’identités d’utilisateurs, comprenant à la fois des violations passées et de nouvelles données de connexion volées, qui a commencé à circuler en ligne. Il n’est pas clair qui a mis à jour cet ensemble de données et l’a republié. Bien qu’une grande partie de cette base de données soit un récapitulatif de violations antérieures, le fait qu’elle ait été mise à jour est préoccupant. Cet ensemble de données est considéré comme l’une des plus grandes collections uniques de comptes compromis jamais recensées. Les hackers utilisent ces données pour mener diverses attaques, et je suis devenu l’une de leurs cibles.

Mon expérience d’attaque de phishing

L’attaque de phishing sur mes appareils personnels et mes comptes, survenue le 19 juin, était la plus sophistiquée que j’aie jamais rencontrée au cours de ma carrière de dix ans en cybersécurité. Les attaquants ont d’abord créé l’illusion que mes comptes étaient attaqués sur plusieurs plateformes, puis se sont fait passer pour des employés de Coinbase, proposant de m’aider. Ils ont combiné des tactiques classiques d’ingénierie sociale avec des actions coordonnées à travers des messages texte, des appels téléphoniques et de faux e-mails, tous conçus pour créer un faux sentiment d’urgence, de crédibilité et d’échelle. La portée et l’autorité de cette fausse attaque étaient essentielles à sa nature trompeuse.

Dans cet article, je détaillerai le processus de l’attaque, analyserai les signaux d’alerte que j’ai remarqués et les mesures de protection que j’ai prises. Je partagerai également des leçons clés et des suggestions pratiques pour aider les investisseurs en cryptomonnaie à rester en sécurité dans un environnement de menaces en constante augmentation.

Les signaux d’alerte et les mesures de protection

Les données historiques et les informations récemment divulguées peuvent être utilisées par les hackers pour mener des attaques multicanaux hautement ciblées. Cela confirme une fois de plus l’importance d’une protection de sécurité en couches, de mécanismes de communication clairs pour les utilisateurs et de stratégies de réponse en temps réel. Tant les institutions que les utilisateurs individuels peuvent tirer parti d’outils pratiques issus de ce cas, y compris des protocoles de vérification, des habitudes d’identification des noms de domaine et des étapes de réponse, qui peuvent aider à prévenir que des négligences momentanées ne se transforment en vulnérabilités de sécurité majeures.

Déroulement de l’attaque

L’attaque a commencé vers 15h15 ET jeudi avec un message texte anonyme indiquant que quelqu’un essayait de tromper les opérateurs mobiles pour obtenir mon numéro de téléphone, une tactique connue sous le nom de SIM swapping. Il est important de noter que ce message ne provenait pas d’un numéro SMS, mais d’un numéro de téléphone standard à 10 chiffres. Les entreprises légitimes utilisent des codes courts pour envoyer des messages SMS. Si vous recevez un message texte d’un numéro de longueur standard inconnu prétendant provenir d’une entreprise, il s’agit très probablement d’une escroquerie ou d’une tentative de phishing.

Les messages contenaient également des contradictions : le premier message texte indiquait que la violation provenait de la région de la baie de San Francisco, tandis qu’un message ultérieur affirmait qu’elle avait eu lieu à Amsterdam. Le SIM swapping est extrêmement dangereux s’il réussit, car les attaquants peuvent obtenir des codes de vérification à usage unique que la plupart des entreprises utilisent pour réinitialiser les mots de passe ou accéder aux comptes. Cependant, il ne s’agissait pas d’un véritable SIM swap, et les hackers préparaient le terrain pour une escroquerie plus sophistiquée.

L’attaque a ensuite escaladé, et j’ai commencé à recevoir des codes de vérification à usage unique prétendument de Venmo et PayPal, envoyés par SMS et WhatsApp. Cela m’a amené à croire que quelqu’un essayait de se connecter à mes comptes sur diverses plateformes financières. Contrairement aux messages SMS suspects des opérateurs, ces codes de vérification provenaient de codes courts qui semblaient légitimes.

Environ cinq minutes après avoir reçu le message texte, j’ai reçu un appel d’un numéro californien. L’appelant, qui se faisait appeler Mason, parlait avec un accent américain et prétendait faire partie de l’équipe d’investigation de Coinbase. Il a déclaré que dans les 30 dernières minutes, il y avait eu plus de 30 tentatives de réinitialisation de mots de passe et de piratage de comptes via la fenêtre de chat de Coinbase. Selon Mason, le soi-disant attaquant avait passé le premier niveau de vérification de sécurité pour la réinitialisation du mot de passe, mais avait échoué au deuxième niveau d’authentification. Il m’a dit que l’autre partie pouvait fournir les quatre derniers chiffres de ma carte d’identité, le numéro complet de mon permis de conduire, mon adresse et mon nom complet, mais n’avait pas pu fournir le numéro complet de la carte d’identité ou les quatre derniers chiffres de la carte bancaire associée au compte Coinbase. Mason a expliqué que c’était cette contradiction qui avait déclenché l’alarme de l’équipe de sécurité de Coinbase, les incitant à me contacter pour vérifier l’authenticité.

Les échanges officiels comme Coinbase ne contacteront jamais proactivement les utilisateurs à moins que vous ne lanciez une demande de service via le site officiel.

Après m’avoir informé de la mauvaise nouvelle, Mason a proposé de protéger mon compte en bloquant des canaux d’attaque supplémentaires. Il a commencé par les connexions API et les portefeuilles associés, affirmant qu’ils seraient révoqués pour réduire le risque. Il a énuméré plusieurs connexions, y compris Bitstamp, TradingView, MetaMask, etc., dont certaines ne me semblaient pas familières, mais j’ai supposé que je les avais peut-être configurées et oubliées. À ce stade, ma garde avait été abaissée, et je me sentais même rassuré par la protection active de Coinbase. Jusqu’à présent, Mason n’avait demandé aucune information personnelle, adresse de portefeuille, codes de vérification à deux facteurs ou mots de passe à usage unique, qui sont généralement des demandes courantes des phishers. L’ensemble du processus d’interaction semblait hautement sécurisé et préventif.

Puis est venue la première tentative de pression, créant un sentiment d’urgence et de vulnérabilité. Après avoir terminé la soi-disant vérification de sécurité, Mason a affirmé que ma protection de compte pour le service d’abonnement Coinbase One avait été annulée parce que mon compte avait été signalé comme à haut risque. Cela signifiait que mes actifs dans le portefeuille Coinbase n’étaient plus couverts par l’assurance FDIC, et je ne pourrais pas recevoir de compensation si l’attaquant réussissait à voler les fonds. Avec le recul, cet argument aurait dû être un signal d’alarme. Contrairement aux dépôts bancaires, les actifs en cryptomonnaie ne sont jamais protégés par l’assurance FDIC, et bien que Coinbase puisse détenir des dollars clients dans des banques assurées par la FDIC, l’échange lui-même n’est pas une institution assurée.

Mason a également averti que le compte à rebours de 24 heures avait commencé et que les comptes en retard seraient verrouillés. Le déverrouillage nécessiterait un processus compliqué et long. Plus inquiétant encore, il a affirmé que si un attaquant obtenait mon numéro de sécurité sociale complet pendant cette période, il pourrait même voler des fonds du compte gelé. Plus tard, j’ai consulté la véritable équipe de service client de Coinbase et j’ai appris que le verrouillage du compte est une mesure de sécurité qu’ils recommandent. Le processus de déverrouillage est en réalité simple et sûr : fournir une photo de votre pièce d’identité et un selfie, et l’échange vérifiera votre identité et restaurera rapidement l’accès.

J’ai ensuite reçu deux e-mails. Le premier était une lettre de confirmation d’abonnement à la newsletter Coinbase Bytes, qui n’était qu’un e-mail normal déclenché par l’attaquant soumettant mon adresse e-mail via le formulaire du site officiel. C’était évidemment une tentative de brouiller mon jugement avec l’e-mail officiel de Coinbase pour renforcer la crédibilité de l’escroquerie. Le second e-mail, plus troublant, provenait d’une adresse no-reply indiquant que ma protection de compte Coinbase One avait été supprimée. Cet e-mail, qui semblait provenir du domaine légitime de Coinbase, était extrêmement trompeur – il aurait été facile de le repérer s’il provenait d’un domaine suspect, mais il semblait authentique car il semblait provenir d’une adresse officielle.

Mason a ensuite suggéré de transférer mes actifs vers un portefeuille multi-signature appelé Coinbase Vault pour des raisons de sécurité. Il m’a même demandé de rechercher « Coinbase Vault » pour vérifier la documentation officielle afin de prouver qu’il s’agit d’un service légitime que Coinbase a fourni pendant de nombreuses années. J’ai dit que j’étais réticent à faire un tel changement majeur sans avoir pleinement enquêté. Il a compris et m’a encouragé à faire des recherches approfondies, et m’a soutenu pour contacter d’abord l’opérateur afin de prévenir le SIM swapping. Il a dit qu’il me rappellerait dans 30 minutes pour continuer les prochaines étapes.

Après avoir raccroché, j’ai immédiatement reçu un message texte confirmant l’appel et le rendez-vous. Après avoir confirmé qu’il n’y avait pas eu de tentative de transfert SIM de la part de l’opérateur, j’ai immédiatement changé tous les mots de passe de mes comptes. Mason a rappelé comme prévu et nous avons commencé à discuter des prochaines étapes. À ce stade, j’ai vérifié que Coinbase Vault est en effet un service réel fourni par Coinbase. C’est une solution de garde avec une sécurité renforcée grâce à l’autorisation multi-signature et des retraits retardés de 24 heures, mais ce n’est pas un véritable portefeuille froid auto-géré.

Mason m’a ensuite envoyé un lien vers vault-coinbase.com, affirmant qu’il pouvait examiner les paramètres de sécurité discutés lors du premier appel. Une fois l’examen terminé, les actifs pouvaient être transférés vers le Vault, et à ce moment-là, mon professionnalisme en sécurité réseau a enfin émergé. Après avoir entré le numéro de dossier qu’il avait fourni, la page qui s’est ouverte montrait la soi-disant connexion API supprimée et le bouton « Créer Coinbase Vault ». J’ai immédiatement vérifié le certificat SSL du site et j’ai découvert que ce nom de domaine, qui n’avait été enregistré que depuis un mois, n’avait rien à voir avec Coinbase. Bien que les certificats SSL puissent souvent créer un faux sentiment de légitimité, les certificats d’entreprise formels ont une propriété claire, et cette découverte m’a fait arrêter immédiatement l’opération. Coinbase a clairement indiqué qu’il n’utiliserait jamais de noms de domaine non officiels. Même si un service tiers est utilisé, il devrait s’agir d’un sous-domaine tel que vault.coinbase.com. Toute opération impliquant des comptes d’échange doit être effectuée via l’application ou le site officiel.

J’ai exprimé mes préoccupations à Mason et j’ai souligné que je n’opérerais que via l’application officielle. Il a soutenu que l’opération via l’application entraînerait un retard de 48 heures, et que le compte serait verrouillé après 24 heures. J’ai une fois de plus refusé de prendre une décision hâtive, alors il a dit que le dossier serait transmis à l’équipe de support de niveau 3 pour essayer de restaurer ma protection Coinbase One.

Après avoir raccroché, j’ai continué à vérifier la sécurité des autres comptes, et mon sentiment d’inquiétude s’est intensifié. Environ une demi-heure plus tard, le numéro texan a appelé. Une autre personne avec un accent américain a prétendu être un enquêteur de niveau 3 et traitait ma demande de récupération Coinbase One. Il a affirmé qu’une période de révision de 7 jours était nécessaire, pendant laquelle le compte resterait toujours non assuré. Il a également gentiment suggéré d’ouvrir plusieurs Vaults pour des actifs sur différentes chaînes. Il semblait professionnel, mais en fait, il n’a jamais mentionné d’actifs spécifiques, se référant seulement de manière vague à Ethereum, Bitcoin, etc. Il a mentionné qu’il demanderait au département juridique d’envoyer les enregistrements de chat, puis a commencé à promouvoir Coinbase Vault. Comme alternative, il a recommandé un portefeuille tiers appelé SafePal. Bien que SafePal soit en effet un portefeuille matériel régulier, c’est manifestement un prélude à tromper la confiance.

Lorsque j’ai remis en question le domaine vault-coinbase.com à nouveau, l’autre partie a essayé de dissiper mes doutes. À ce stade, l’attaquant a peut-être réalisé qu’il était difficile de réussir et a finalement abandonné cette attaque de phishing. Après avoir terminé mon deuxième appel avec le faux représentant du service client, j’ai immédiatement soumis ma demande via Coinbase.com. Le véritable représentant du service client a rapidement confirmé qu’il n’y avait eu aucune connexion inhabituelle ou demande de réinitialisation de mot de passe sur mon compte. Il a suggéré de verrouiller immédiatement le compte et de rassembler les détails de l’attaque pour les soumettre à l’équipe d’enquête. J’ai fourni tous les noms de domaine frauduleux, numéros de téléphone et vecteurs d’attaque, et j’ai spécifiquement demandé des informations sur les autorisations d’envoi de no-reply. Le service client a reconnu que c’était très sérieux et a promis que l’équipe de sécurité mènerait une enquête approfondie.

Conclusion

Lors de la prise de contact avec le service client d’un échange ou d’un dépositaire, assurez-vous de passer par des canaux officiels. Les entreprises légitimes ne contacteront jamais proactivement les utilisateurs. Bien que j’aie eu la chance de ne pas être trompé, en tant qu’ancien praticien de la cybersécurité, cette expérience de presque tromperie m’a profondément troublé. Si je n’avais pas été formé professionnellement, j’aurais pu être trompé. Si cela avait été juste un appel inconnu ordinaire, j’aurais directement raccroché. C’est la chaîne d’actions soigneusement conçue des attaquants qui a créé un sentiment d’urgence et d’autorité, rendant ce phishing si dangereux.

J’ai résumé les signaux d’alerte suivants et les suggestions de protection, espérant aider les investisseurs en cryptomonnaie à garantir la sécurité de leurs fonds dans l’environnement réseau actuel.

Signaux d’alerte et suggestions de protection

1. Alarmes fausses coordonnées pour créer de la confusion et de l’urgence : Les attaquants ont d’abord créé l’illusion d’une attaque simultanée sur plusieurs plateformes à travers une série d’alertes de SIM swap et de demandes de codes de vérification à usage unique de services tels que Venmo et PayPal (envoyés à la fois par SMS et WhatsApp). Ces messages ont probablement été déclenchés avec juste mon numéro de téléphone et mon adresse e-mail, qui sont facilement accessibles. À ce stade, je ne pense pas que les attaquants aient eu accès à des données de compte plus profondes.
2. Mélange de codes courts avec des numéros de téléphone réguliers : Les messages de phishing sont envoyés en utilisant une combinaison de codes courts SMS et de numéros de téléphone réguliers. Bien que les entreprises utilisent souvent des codes courts pour les communications officielles, les attaquants peuvent falsifier ou recycler ces codes courts. Mais il est important de noter que les services légitimes n’utiliseront jamais de numéros de téléphone réguliers pour envoyer des alertes de sécurité. Les messages provenant de numéros de longueur standard doivent toujours être traités avec scepticisme.
3. Demandes d’opérer via des noms de domaine non officiels ou inconnus : L’attaquant m’a demandé de visiter un site de phishing hébergé sur vault-coinbase.com, un domaine qui semble légitime à première vue, mais qui n’est en réalité pas affilié à Coinbase. Vérifiez toujours les noms de domaine et les certificats SSL avant d’entrer des informations. Les opérations impliquant des comptes sensibles ne doivent être effectuées que sur les domaines ou applications d’entreprise officiels.
4. Appels non sollicités et communications de suivi : Coinbase et la plupart des autres institutions financières ne vous appelleront jamais sans avoir initié une demande de support. Recevoir un appel de quelqu’un prétendant faire partie de l' »Équipe d’Enquête de Niveau 3″ est un signal d’alerte majeur, surtout lorsqu’il est associé à des tactiques de peur et à des instructions compliquées pour protéger votre compte.
5. Avertissements d’urgence et de conséquences non sollicités : Les attaquants de phishing utilisent souvent la peur et l’urgence pour forcer les victimes à agir sans réfléchir. Dans ce cas, les menaces de verrouillage de compte, de vol d’actifs et d’annulation de couverture d’assurance sont des tactiques typiques d’ingénierie sociale.
6. Demande de contourner les canaux officiels : Toute suggestion d’éviter d’utiliser l’application ou le site officiel d’une entreprise, surtout lorsqu’elle prétend offrir une alternative « plus rapide » ou « plus sûre », devrait immédiatement soulever des drapeaux rouges. Les attaquants peuvent fournir des liens qui semblent légitimes mais qui pointent en réalité vers des domaines malveillants.
7. Numéros de dossier ou tickets de support non vérifiés : Fournir un numéro de dossier pour introduire un portail de phishing personnalisé crée un faux sentiment de légitimité. Aucun service légitime ne demanderait aux utilisateurs de vérifier leur identité ou d’agir via un lien externe personnalisé avec un numéro de dossier.
8. Mélange d’informations vraies et fausses : Les attaquants mélangent souvent de vraies informations personnelles (comme une adresse e-mail ou un numéro de sécurité sociale partiel) avec des informations vagues ou inexactes pour renforcer leur crédibilité. Toute incohérence ou référence vague à une chaîne, un portefeuille ou une révision de sécurité doit être considérée avec suspicion.
9. Utiliser de vrais noms d’entreprise dans des propositions alternatives : Introduire des noms de confiance comme SafePal (même si ces entreprises sont légitimes) pourrait être une tactique de diversion qui donne l’apparence de choix et de légitimité tout en dirigeant en réalité les victimes vers des opérations malveillantes.
10. Enthousiasme excessif sans vérification : L’attaquant était patient, m’a encouragé à faire mes propres recherches et n’a pas demandé d’informations sensibles au départ. Ce comportement imitait un véritable agent du service client, rendant l’escroquerie professionnelle. Toute aide non sollicitée qui semble trop belle pour être vraie doit être considérée avec suspicion.
11. Activer la vérification au niveau des transactions sur les échanges : Activez l’authentification à deux facteurs et la vérification basée sur captcha dans les paramètres de votre échange. Cela garantit que toute tentative d’envoi ou de transfert de fonds doit être envoyée à un appareil de confiance pour une confirmation en temps réel, empêchant les transactions non autorisées.
12. Contactez toujours les fournisseurs de services par des canaux légitimes et vérifiés : Dans ce cas, j’ai contacté mon fournisseur de services mobiles et Coinbase en me connectant directement à la plateforme officielle et en soumettant un ticket de support. C’est la manière la plus sûre et la seule appropriée d’interagir avec le service client lorsque la sécurité de votre compte est compromise.
13. Le support d’échange ne vous demandera jamais de déplacer, d’accéder ou de protéger vos fonds : Ils ne demanderont pas ou ne fourniront pas votre phrase mnémotechnique de portefeuille, ne demanderont pas votre code de vérification à deux facteurs, ni n’essaieront d’accéder à distance ou d’installer un logiciel sur votre appareil.
14. Envisagez d’utiliser un portefeuille multi-signature ou une solution de stockage à froid : Les portefeuilles multi-signatures nécessitent l’approbation de plusieurs parties pour une transaction, tandis que les portefeuilles à froid gardent vos clés privées complètement hors ligne. Les deux méthodes sont efficaces pour protéger les avoirs à long terme contre les attaques de phishing ou de logiciels malveillants à distance.
15. Ajoutez les sites Web officiels à vos favoris et évitez de cliquer sur des liens provenant de messages non sollicités : Saisir manuellement l’URL ou utiliser un signet de confiance est le meilleur moyen d’éviter le spoofing de domaine.
16. Utilisez un gestionnaire de mots de passe pour identifier les sites suspects et maintenir des mots de passe forts : Les gestionnaires de mots de passe aident à prévenir les tentatives de phishing en refusant les remplissages automatiques sur des domaines faux ou inconnus. Changez régulièrement vos mots de passe et immédiatement si vous soupçonnez une attaque malveillante.
17. Passez régulièrement en revue les applications liées, les clés API et les intégrations tierces : Révoquez l’accès à toutes les applications ou services que vous n’utilisez plus ou ne reconnaissez pas.
18. Activez les alertes de compte en temps réel lorsque cela est possible : Les notifications de connexions, de retraits ou de modifications des paramètres de sécurité peuvent fournir un avertissement précoce critique d’une activité non autorisée.
19. Signalez toutes les activités suspectes à l’équipe de support officielle du fournisseur de services : Un signalement précoce aide à prévenir des attaques plus larges et contribue à la sécurité globale de la plateforme.

Pour les institutions financières, les équipes de sécurité informatique et les dirigeants, cette attaque souligne comment les données historiques, lorsqu’elles sont réutilisées et combinées avec une ingénierie sociale en temps réel, peuvent permettre aux hackers de contourner même les défenses de sécurité les plus sophistiquées. Les acteurs de la menace ne comptent plus uniquement sur des attaques par force brute, mais exécutent plutôt des stratégies coordonnées intercanaux pour gagner la confiance et tromper les utilisateurs en imitant des flux de travail légitimes. Nous devons non seulement protéger la sécurité des systèmes et des réseaux, mais aussi identifier les menaces et agir pour nous protéger. Que ce soit en travaillant dans une agence crypto ou en gérant des actifs crypto à domicile, chacun doit comprendre comment les vulnérabilités de sécurité personnelles peuvent évoluer en risques systémiques. Pour se protéger contre ces menaces, les organisations doivent superposer des défenses telles que la surveillance des noms de domaine, l’authentification adaptative, l’authentification multi-facteurs pour prévenir le phishing, et des protocoles de communication clairs. Il est également important que les entreprises cultivent une culture de la sensibilisation à la cybersécurité afin que chaque employé, des ingénieurs aux dirigeants, comprenne son rôle dans la protection de l’entreprise. Dans l’environnement actuel, la sécurité n’est pas seulement une fonction technique, mais aussi une responsabilité qui doit être partagée par les individus et l’ensemble de l’organisation.