Plus de 130 personnes ont été averties par les autorités d’une tentative de fraude visant les utilisateurs de crypto. Les escrocs envoient des messages en se faisant passer pour des plateformes comme Binance, en utilisant exactement le même identifiant d’expéditeur que les communications officielles de ces entreprises.
Cette escroquerie repose sur l’envoi de messages via SMS et des plateformes de messagerie chiffrée. Les fraudeurs prétendent qu’un compte crypto a été compromis et demandent à l’utilisateur de créer un nouveau portefeuille, a déclaré la police fédérale australienne (AFP) dans un communiqué du 21 mars.
Les messages paraissent authentiques au premier coup d’œil, car ils s’affichent dans le même fil de discussion que les communications officielles de Binance.
La police fédérale australienne affirme avoir trouvé au moins 130 personnes qui ont été ciblées par cette escroquerie jusqu'à présent. Source : Police fédérale australienne
« Les messages contenaient de faux codes de vérification et étaient souvent ‘usurpés’, ce qui signifie qu’ils apparaissaient dans un fil de discussion légitime en provenance de la plateforme de cryptomonnaie bien connue », explique l’AFP.
Un numéro d’assistance était également fourni, mais lorsqu’une victime appelait, on lui demandait de « protéger son compte » en transférant ses cryptos vers un « trust wallet ». En réalité, ce portefeuille était contrôlé par les escrocs, qui s’emparaient immédiatement des fonds.
Selon un rapport de la chaîne australienne ABC publié en 2019, certaines plateformes de messagerie permettent d’envoyer des SMS avec un identifiant d’expéditeur personnalisé, tel qu’un nom de société au lieu d’un numéro de téléphone. Ce procédé peut être exploité pour usurper l’identité d’une entreprise.
Lorsque le message frauduleux est reçu, il est automatiquement regroupé avec d’autres communications utilisant le même identifiant d’expéditeur, ce qui renforce l’illusion d’authenticité.
Face à cette menace, l’AFP a intensifié ses efforts en envoyant des alertes par e-mail et SMS aux 130 personnes identifiées comme cibles potentielles.
Le commandant Graeme Marshall, responsable des opérations de cybercriminalité à l’AFP, souligne que dès que les fonds sont transférés vers le portefeuille des escrocs, ils sont rapidement dispatchés à travers un réseau de wallets, rendant leur récupération extrêmement compliquée.
Cette attaque rappelle une autre série d’arnaques signalées le 14 mars par des utilisateurs de X. Cette fois, de faux e-mails imitant Coinbase et Gemini incitaient les victimes à configurer un nouveau portefeuille à l’aide de phrases de récupération pré-générées contrôlées par les escrocs.
La police a précisé que plusieurs éléments peuvent signaler ce type d’escroquerie, notamment un contact non sollicité d’une personne prétendant être de Binance à propos d’une violation de compte, une pression pour agir rapidement et une demande de phrase de récupération.
Le responsable de la sécurité de Binance, Jimmy Su, a déclaré à l'AFP que les escrocs se font souvent passer pour des plateformes de confiance, en exploitant certaines failles des télécommunications pour manipuler les noms et les numéros de téléphone des expéditeurs.
Il rappelle que Binance met à disposition un outil permettant de vérifier l’authenticité de ses canaux officiels et conseille aux utilisateurs, en cas de doute, de « s’arrêter et vérifier via les sources officielles », notamment les contacts disponibles sur le site officiel.
Source: Binance Australia
En décembre dernier, le gouvernement australien a annoncé la mise en place d’un registre des identifiants d’expéditeurs SMS et d’une norme industrielle contraignante pour lutter contre ce type d’escroqueries. Ce type d’arnaques a déjà touché des entreprises comme la compagnie aérienne Qantas et le géant technologique Apple.
Cette nouvelle réglementation impose aux opérateurs télécoms de vérifier si les messages envoyés sous un nom de marque correspondent bien à l’expéditeur légitime enregistré, et de soumettre leurs identifiants d’expéditeur pour vérification.
Le registre devrait être lancé fin 2025, avec une phase pilote mise en place en attendant, selon la ministre australienne des Communications, Michelle Rowland.
En août dernier, la police fédérale australienne avait révélé que les Australiens avaient perdu un total de 382 millions de dollars australiens (269 millions de dollars américains) à cause d’arnaques liées à l’investissement sur une période de 12 mois, dont environ 47 % concernaient les cryptomonnaies.