Comment le phishing est-il utilisé pour voler des NFT ?

Comme c’est le cas dans presque tous les secteurs, lorsqu’un produit commence à prendre une valeur significative, il devient une cible dont les criminels peuvent profiter. C’est ce qui s’est passé dans l’industrie du NFT, puisque certaines de ces œuvres d’art virtuelles se vendent désormais pour des dizaines de millions de dollars.

Les cybercriminels développent des moyens de plus en plus sophistiqués pour tromper leurs victimes et voler leurs actifs, l'une des méthodes les plus populaires étant le phishing . Alors, comment exactement le phishing est-il utilisé pour voler des NFT ?

Comment le phishing est-il utilisé pour voler des NFT ?

Le phishing est utilisé pour voler des NFT

Vous pourriez penser que la cryptographie utilisée dans le processus d’achat et de stockage des NFT rend l’ensemble du système super sécurisé. Oui, il sera certainement difficile pour les cybercriminels d’accéder aux NFT sans certaines de vos données sensibles. Mais c'est pourquoi le phishing est utilisé lors du vol.

Il existe de nombreuses façons pour les attaquants en ligne de mettre la main sur vos NFT par le biais du phishing. Vous devez donc être extrêmement vigilant pour protéger vos actifs.

1. Phishing via Discord

Ces dernières années, le site de réseautage social Discord est devenu un choix populaire pour les passionnés de crypto-monnaie et de NFT cherchant à se connecter entre eux et avec les artistes ou développeurs qu'ils aiment. Mais les cybercriminels en sont également conscients et utilisent donc Discord pour cibler des utilisateurs inconnus.

Les faux cadeaux NFT sont une arnaque particulièrement populaire sur Discord, dans laquelle des escrocs se font passer pour des artistes NFT et persuadent les utilisateurs de révéler certaines informations afin de participer au programme d'offrir un cadeau. Ces escroqueries vous demandent souvent de saisir une clé privée ou une phrase de départ (un ensemble de mots-clés utilisés pour accéder à un portefeuille de crypto-monnaie).

Cependant, aucun cadeau légitime ne vous demandera ces deux données sensibles. Donc, si on vous demande de fournir votre phrase de départ ou votre clé privée pour participer au concours, partez immédiatement. Il n’y a aucune raison pour que votre clé privée soit nécessaire pour recevoir tout type d’actif, donc si on vous la demande, vous risquez certainement d’être victime d’une arnaque.

2. Phishing par e-mail

Les cybercriminels s'appuient souvent sur le courrier électronique pour inciter les utilisateurs à révéler des informations sensibles. De nombreuses personnes ont divulgué leurs coordonnées bancaires, leurs informations de connexion et même leur numéro de sécurité sociale grâce à ces escroqueries, et désormais, les propriétaires de NFT sont ciblés.

Alors si jamais vous recevez un email d’un artiste NFT, d’un développeur de projet ou d’une entreprise suspecte, sachez qu’il s’agit probablement d’une arnaque. Ces e-mails peuvent contenir des liens vers des sites de réduction NFT, des sites de cadeaux ou quelque chose de similaire et peuvent vous demander votre phrase de départ ou votre clé privée.

De plus, ces e-mails peuvent prendre la forme de notifications du marché, alertant les propriétaires de NFT que quelqu'un aurait acheté ou placé une offre sur un NFT qu'ils vendent. Les utilisateurs seront invités à cliquer sur le lien fourni et à se connecter à leur compte. S’il le fait, l’escroc pourra alors accéder à son compte et aux NFT sur lesquels il vend.

Cela s'est produit en mars 2022. Les cybercriminels se sont fait passer pour Opensea, un marché NFT populaire, et ont envoyé des e-mails aux utilisateurs pour accéder à leurs informations d'identification. Plusieurs personnes ont été victimes de cette arnaque et des centaines de NFT ont ainsi été perdus.

C'est pourquoi il est important que vous ne cliquiez pas arbitrairement sur les liens contenus dans les e-mails. Si vous êtes informé que votre NFT a été vendu ou qu'une transaction a été conclue, rendez-vous directement sur la place de marché et connectez-vous-y. Vous pourrez alors voir s’il existe réellement une activité liée au bien que vous vendez.

3. Phishing via Instagram

De nombreux artistes NFT utilisent Instagram pour promouvoir de nouvelles œuvres, discuter des développements et se connecter avec leurs fans. Mais cela a également ouvert la porte à des comptes usurpés, grâce auxquels des victimes sans méfiance ont été trompées.

Les fraudeurs effectuent souvent ce type d'arnaque en envoyant des messages aux utilisateurs qui suivent l'artiste, le projet dont ils se font passer ou aux utilisateurs intéressés par les NFT en général. Ils informeront l'utilisateur qu'ils ont gagné le cadeau et fourniront ensuite un lien vers le site Web sur lequel ils pourront réclamer leur prix.

Bien entendu, il n’y a pas de véritable prix et le lien est uniquement fourni aux utilisateurs pour fournir aux fraudeurs les informations dont ils ont besoin pour accéder aux comptes ou aux portefeuilles en leur possession. À ce moment-là, il est peut-être trop tard pour la victime.

Mais les comptes d’usurpation d’identité ne sont pas la panacée des escroqueries NFT liées à Instagram. Des criminels plus avancés peuvent pirater des comptes officiels et cibler des individus à partir de là. Cette couche d’authentification explicite donne aux fraudeurs une meilleure chance de tromper les utilisateurs.

4. Phishing via Twitter

Comme Instagram, de nombreux artistes et projets NFT sont largement suivis sur Twitter par des fans et des passionnés intéressés par leur travail. Et cela ne fait que fournir aux cybercriminels un autre moyen d’exploiter les utilisateurs.

Les escroqueries NFT sur Twitter fonctionnent de la même manière que sur Instagram, les criminels ciblant les victimes en se faisant passer pour des comptes ou en piratant des comptes officiels et à partir de là. Les fraudeurs peuvent également publier publiquement des liens de phishing provenant de comptes officiels faux ou compromis pour créer une attaque ultérieure de plus grande envergure et attirer encore plus de victimes.

En raison de ce risque, vous devez faire preuve de prudence chaque fois que vous rencontrez un lien cadeau NFT. Encore une fois, si l’on vous demande de fournir tout type d’informations sensibles pour recevoir un cadeau, méfiez-vous. Il n'y a aucune raison pour que votre phrase de départ, votre mot de passe de connexion ou votre clé privée soient nécessaires dans un cadeau.

Vous pouvez également utiliser des sites Web de vérification de liens pour vérifier si un lien est légitime avant de cliquer dessus.

Alors que les NFT atteignent des prix incroyables, il n'est pas surprenant que les cybercriminels fassent tout ce qu'ils peuvent pour profiter de ce marché en plein essor. Donc, si vous possédez un type de NFT, n'oubliez pas que vous ne devez jamais divulguer aucune de vos informations sensibles, car cela pourrait être utilisé pour voler rapidement vos précieux actifs.