Les escrocs profitent de la nature décentralisée et immuable de la blockchain pour escroquer les investisseurs en cryptomonnaies depuis l'avènement de cette technologie.
Et, selon le dernier rapport du FBI sur les fraudes, les fraudeurs utilisent de fausses applications crypto pour voler l'argent d'investisseurs en cryptomonnaies sans méfiance. Ce rapport souligne que les investisseurs américains ont perdu environ 42,7 millions de dollars au profit d'escrocs utilisant de fausses applications.
Ces stratagèmes profiteraient de l'intérêt accru pour les cryptomonnaies, en particulier pendant les périodes de marché haussier, pour séduire les utilisateurs de cryptomonnaies.
Comment les escrocs des fausses applications crypto attirent les utilisateurs
Les escrocs utilisent une myriade de techniques pour attirer les investisseurs. Voici un aperçu de certaines d'entre elles.
Mécanismes d'ingénierie sociale
Certains réseaux de fraudeurs aux fausses applications de cryptomonnaie utilisent des stratégies d'ingénierie sociale pour attirer les victimes.
Dans de nombreux cas, les fraudeurs se lient d'amitié avec les victimes par le biais de plateformes sociales telles que des sites de rencontre, puis les incitent à télécharger des applications qui semblent être des applications fonctionnelles de trading de cryptomonnaies.
Les escrocs convainquent ensuite les utilisateurs de transférer des fonds vers l'application. Les fonds sont toutefois « verrouillés » une fois le transfert effectué, et les victimes ne sont jamais autorisées à retirer de l'argent.
Dans certains cas, les escrocs attirent les victimes en leur faisant miroiter des rendements élevés. La ruse prend fin lorsque les victimes réalisent qu'elles ne peuvent pas récupérer leurs fonds.
S'adressant à Cointelegraph en début de semaine, Rick Holland, directeur de la sécurité informatique de Digital Shadows - une société de protection contre les risques numériques - a souligné que l'ingénierie sociale reste une stratégie de premier ordre pour les escrocs, car elle ne demande qu'un effort minimal.
« S'appuyer sur la méthode éprouvée de l'ingénierie sociale est bien plus pratique et lucratif », a-t-il déclaré.
Le responsable de la cybersécurité a ajouté que l'ingénierie sociale permet aux escrocs de cibler facilement les personnes fortunées.
Des noms de marque reconnaissables
Certains escrocs qui utilisent de fausses applications crypto ont recours à des noms de marque reconnaissables pour promouvoir de fausses applications en raison de la confiance et de l'autorité qu'ils inspirent.
Dans un cas mis en évidence dans le dernier rapport du FBI sur la criminalité liée aux cryptomonnaies, des cybercriminels se faisant passer pour des employés de YiBit ont récemment soutiré à des investisseurs quelque 5,5 millions de dollars après les avoir convaincus de télécharger une fausse application de trading de cryptomonnaies YiBit.
À l'insu des investisseurs, la véritable société de trading crypto YiBit a cessé ses activités en 2018. Les transferts de fonds effectués vers la fausse appli ont été volés.
Dans un autre cas décrit dans le rapport du FBI, des escrocs utilisant la marque Supay, associée à une société crypto australienne, ont soutiré des millions de dollars à 28 investisseurs. Le stratagème, qui s'est déroulé entre le 1er et le 26 novembre, a entraîné des pertes de 3,7 millions de dollars.
De tels stratagèmes existent depuis des années, mais de nombreux cas ne sont pas signalés en raison de l'absence de voies de recours appropriées, en particulier dans les juridictions qui évitent les cryptomonnaies.
À lire également : Comment les NFT peuvent stimuler l'engagement des fans dans l'industrie du sport
Outre les États-Unis, des enquêtes menées dans d'autres juridictions importantes, comme l'Inde, ont récemment mis au jour des systèmes élaborés de fausses applications de cryptomonnaies.
Selon un rapport publié en juin par la société de cybersécurité CloudSEK, un système de fausses applications crypto récemment découvert, impliquant de nombreuses applications et domaines clonés, a fait perdre au moins 128 millions de dollars à des investisseurs indiens.
Distribuer de fausses applications par le biais des plateformes d'applications officielles
Les escrocs des fausses applications de cryptomonnaie utilisent parfois les plateformes d'applications officielles pour distribuer des applications douteuses.
Certaines de ces applications sont conçues pour recueillir les informations d'identification des utilisateurs, qui sont ensuite utilisées pour déverrouiller les comptes en cryptomonnaie sur les plateformes officielles correspondantes. D'autres prétendent offrir des solutions de portefeuille sécurisées pouvant être utilisées pour stocker une gamme variée de cryptomonnaies, mais volent les fonds une fois qu'un dépôt est effectué.
Bien que des plateformes telles que Google Play Store vérifient constamment l'intégrité des applications, il est toujours possible que de fausses applications passent entre les mailles du filet.
L'une des dernières méthodes utilisées par les escrocs pour y parvenir consiste à s'inscrire en tant que développeurs d'applications sur des plateformes d'applications mobiles populaires telles que l'App Store d'Apple et le Google Play Store, puis à télécharger des applications d'apparence légitime.
En 2021, une fausse application Trezor se faisant passer pour un portefeuille créé par SatoshiLabs a utilisé cette stratégie pour être publiée à la fois sur l'Apple App Store et le Google Play Store. L'application prétendait fournir aux utilisateurs un accès direct en ligne à leurs portefeuilles matériels Trezor sans avoir besoin de connecter leur dongle Trezor à un ordinateur.
Les victimes qui ont téléchargé la fausse application Trezor ont été obligées de soumettre leur phrase de démarrage de portefeuille pour commencer à utiliser le service. Une phrase de démarrage est une chaîne de mots qui peut être utilisée pour accéder à un portefeuille de cryptomonnaies sur la blockchain.
Les détails soumis ont permis aux voleurs derrière la fausse application de piller les fonds des utilisateurs.
Selon une déclaration d'Apple, la fausse application Trezor a été publiée sur sa plateforme par le biais d'une manœuvre trompeuse de type "bait-and-switch". Les développeurs de l'application auraient initialement présenté l'application comme une application crypto conçue pour chiffrer des fichiers, mais l'auraient ensuite convertie en une application de portefeuille de cryptomonnaies. Apple a déclaré qu'elle n'était pas au courant de ce changement avant que les utilisateurs ne le signalent.
S'adressant à Cointelegraph en début de semaine, Chris Kline, cofondateur de Bitcoin IRA - un service d'investissement en cryptomonnaies pour la retraite - a déclaré que malgré de tels incidents, les grandes entreprises technologiques du secteur étaient déterminées à lutter contre les fausses applications de cryptomonnaies en raison des dommages potentiels à leur intégrité. Il a déclaré :
« Les entreprises technologiques cherchent toujours à améliorer l'éducation et la sécurité de leurs utilisateurs. Les acteurs les plus réputés placent aujourd'hui la sécurité au premier plan de leur feuille de route. Les utilisateurs ont besoin d'être rassurés sur la sécurité de leurs actifs numériques et les fournisseurs font de la sécurité une priorité ».
Cela dit, le problème des fausses applications est plus répandu sur les plateformes d'applications non officiels.
Comment repérer une fausse application de cryptomonnaie
Les fausses applications de cryptomonnaies sont conçues pour ressembler le plus possible aux applications légitimes. En tant qu'investisseur en cryptomonnaies, il faut être capable de discerner les applications légitimes des fausses pour éviter les pertes inutiles.
Voici un aperçu de certains éléments à prendre en compte pour vérifier l'authenticité d'une application mobile de cryptomonnaie.
Orthographe, icônes et description
La première étape pour s'assurer de la légitimité d'une application consiste à vérifier l'orthographe et l'icône. Les fausses applications ont généralement un nom et une icône qui ressemblent à ceux des applications légitimes, mais il y a souvent quelque chose qui cloche.
Si les noms de l'application ou du développeur sont mal orthographiés, par exemple, le logiciel est très probablement faux. Une recherche rapide de l'application sur Internet vous aidera à confirmer sa légitimité.
Il est également important de vérifier si l'application possède un badge "Choix de l'éditeur" de Google. Ce badge est une distinction fournie par l'équipe éditoriale de Google Play pour reconnaître les développeurs et les applications de qualité exceptionnelle. Il est peu probable que les applications portant ce badge soient fausses.
Autorisations de l'application
Les applications contrefaites demandent généralement plus de permissions que nécessaire. Elles peuvent ainsi glaner un maximum de données sur les appareils des victimes.
Les utilisateurs doivent donc se méfier des applications qui demandent des autorisations inhabituelles, telles que des privilèges d'administrateur d'appareil. De telles autorisations pourraient donner aux cybercriminels un accès illimité à un appareil et leur permettre d'intercepter des données sensibles qui peuvent être utilisées pour débloquer des comptes financiers, y compris des portefeuilles crypto.
Les autorisations d'applications intrusives peuvent être bloquées via les paramètres de confidentialité d'un système téléphonique.
Le nombre de téléchargements
Le nombre de téléchargements d'une application est généralement un indicateur de sa popularité. Les applications de développeurs réputés comptent généralement des millions de téléchargements et des milliers d'avis positifs.
À l'inverse, les applications qui ne comptent que quelques milliers de téléchargements doivent être examinées de plus près.
Confirmer l'authenticité en contactant l'assistance
Si vous n'êtes pas sûr de l'authenticité d'une application, vous pouvez contacter le service d'assistance sur le site officiel de l'entreprise afin d'éviter les pertes financières dues à la fraude.
En outre, les applications authentiques peuvent être téléchargées sur le site officiel de l'entreprise.
À lire également : La contagion des cryptomonnaies dissuade les investisseurs à court terme, mais les fondamentaux restent solides
Les cryptomonnaies sont soutenues par une technologie relativement nouvelle, il est donc normal qu'il y ait des problèmes de démarrage en matière d'utilisation et d'adoption. Malheureusement, ces dernières années, des "black hats" ont ciblé des amateurs de cryptomonnaies naïfs en utilisant de fausses applications de cryptomonnaies.
Bien que le problème risque de persister pendant plusieurs années, une surveillance accrue de la part des entreprises technologiques devrait permettre de le tempérer à long terme.