
Faux projets, vrais risques : méfiez-vous des faux comptes dans les commentaires qui tentent de phishing
TechFlow SélectionTechFlow Sélection

Faux projets, vrais risques : méfiez-vous des faux comptes dans les commentaires qui tentent de phishing
Cet article décrypte le processus utilisé par un groupe de phishing dans les commentaires d'un projet connu.
Rédaction : Shan & Liz
Contexte
Récemment, l'équipe de sécurité SlowMist a reçu plusieurs demandes d'aide concernant des vols successifs. Après analyse, nous avons découvert que la majorité de ces incidents étaient dus à des messages frauduleux publiés sous les tweets officiels de projets connus.
L'équipe de sécurité SlowMist a ensuite mené une analyse ciblée : environ 80 % des comptes Twitter de projets célèbres voient leur premier commentaire après publication occupé par un compte de phishing. Compte tenu du haut niveau d'automatisation des groupes de fraude et du faible niveau de vigilance de certains acteurs des cryptomonnaies, cet article décrit le processus utilisé par ces groupes dans les commentaires des comptes officiels afin d'alerter la communauté.
Processus d’attaque
1. Achat de comptes Twitter. Nous avons constaté qu’il existe de nombreux groupes Telegram spécialisés dans la vente de comptes Twitter. Ces comptes disposent de divers niveaux de suiveurs, de publications et de dates d’inscription, permettant aux acheteurs de choisir selon leurs besoins. L’historique de ces groupes révèle que la plupart des comptes vendus sont liés au secteur des cryptomonnaies ou à des influenceurs.


Outre les groupes Telegram, il existe également des sites web entièrement dédiés à la vente de comptes Twitter. Ces plateformes proposent des comptes de différentes années, avec possibilité d’acheter des comptes similaires au nom de comptes légitimes – par exemple, « Optimlzm » (faux) en lieu et place de « Optimism » (vrai). Ces sites acceptent également les paiements en cryptomonnaies.

(https://twitteraccseller.mysellix.io/)
2. Une fois le compte acquis, les groupes de phishing utilisent des outils promotionnels pour acheter des interactions (likes, retweets, followers), renforçant ainsi la crédibilité du compte. Ces outils, qui acceptent aussi les paiements en cryptomonnaies, offrent des services comme des likes, des partages ou des abonnés sur les principales plateformes sociales. Il suffit à l’acheteur d’indiquer le lien à promouvoir et le volume souhaité.

(https://easyliker.ru/services)
Selon le service client de cette plateforme, plus de 1,3 million de commandes ont déjà été traitées, utilisées par environ 20 000 personnes.

3. Après ces préparatifs, les fraudeurs obtiennent un compte Twitter crédible, doté de nombreuses publications et de nombreux abonnés. Ils imitent ensuite le profil des comptes officiels, rendant difficile la distinction entre vrai et faux pour une partie des utilisateurs. Ensuite intervient l’étape clé du phishing :
-
Des robots automatisés surveillent en continu les activités des comptes officiels ;
-
Dès qu’un projet publie un tweet, les robots des fraudeurs commentent instantanément pour s’assurer la première position dans les commentaires, bénéficiant ainsi d’une forte visibilité ;
-
Étant donné que l’utilisateur consulte un post authentique et que le compte frauduleux imite parfaitement l’apparence du compte officiel, toute baisse de vigilance peut conduire l’utilisateur à cliquer sur un lien de phishing déguisé en airdrop, puis à autoriser ou signer une transaction malveillante, entraînant la perte de ses actifs.
Exemple concret
Le 12 janvier, le compte Twitter officiel d’Optimism a publié un tweet. Le premier commentaire sous ce tweet était un message frauduleux, ayant généré beaucoup d’interactions. Bien que le lien vers le site officiel y figure, le lien dans le texte est un lien de phishing, comme indiqué ci-dessous. Ce jour-là, le CISO de SlowMist, @IM_23pds, a lancé un avertissement public sur Twitter, appelant les utilisateurs à se méfier des faux comptes dans les commentaires des projets officiels.

(https://twitter.com/IM_23pds/status/1745662404300788120)
Les fraudeurs exploitent le mécanisme de changement de nom sur Twitter : un utilisateur peut modifier son nom d'affichage (Display Name), mais cela ne change pas son identifiant unique, appelé nom d'utilisateur (Handle), précédé du symbole @. Ce faux compte utilise le même nom d'affichage « Optimism », mais en observant attentivement, on remarque une légère différence dans le nom d'utilisateur : les lettres « is » ont été remplacées par « lz ». Cette technique de phishing est déjà documentée dans le manuel noir.
Analyse MistTrack
En utilisant l’outil de traçage blockchain MistTrack pour interroger l’adresse 0xd02c75102ed941b26e318c0896c5b5aeb4ddc965, appartenant à un vendeur de comptes Twitter sur Telegram, nous avons constaté que toutes les adresses ayant transféré des fonds vers celle-ci sont marquées par MistTrack comme étant liées à des activités malveillantes telles que le phishing ou le vol de cryptomonnaies. En cliquant sur ces adresses, nous en avons identifié davantage, révélant ainsi l’ampleur de ce marché noir.


Mesures de protection
1. Amélioration des extensions anti-phishing. 90 % des attaques de phishing liées aux NFT dans l’industrie blockchain impliquent des noms de domaine falsifiés. Il est crucial de disposer d’alertes en temps réel sur les domaines malveillants. Si un utilisateur accède à une page de phishing, l’extension ou le navigateur doit immédiatement signaler le risque, empêchant ainsi toute signature frauduleuse et bloquant la menace dès la première étape.
2. Fonctionnalités de sécurité dans les portefeuilles : afficher exactement ce qui est signé. Si les portefeuilles intègrent une fonction de détection des signatures trompeuses et présentent clairement les informations sensibles (ce qui est autorisé, le montant, le destinataire, etc.) en format lisible par l’humain, cela permettrait aux utilisateurs de voir précisément les détails avant de signer, créant ainsi une dernière ligne de défense contre les pièges.
3. Renforcement de la conscience individuelle en matière de sécurité. Tous les outils, articles ou alertes ne sont que des aides. Chaque utilisateur doit développer sa propre vigilance, toujours vérifier soigneusement avant de cliquer sur un lien, d’autoriser ou de signer une transaction, afin d’éviter pertes d’actifs et escroqueries.
Conclusion
Cet article décrit le phénomène des messages de phishing dans les commentaires des comptes Twitter de projets célèbres, en exposant la méthodologie des groupes de fraude. Notre objectif est d’aider les utilisateurs à reconnaître ces techniques, à rester vigilants et à éviter le vol de leurs actifs.
Enfin, nous recommandons vivement la lecture du « Manuel de survie dans la forêt obscure de la blockchain », publié par SlowMist, pour approfondir vos connaissances en sécurité.
Bienvenue dans la communauté officielle TechFlow
Groupe Telegram :https://t.me/TechFlowDaily
Compte Twitter officiel :https://x.com/TechFlowPost
Compte Twitter anglais :https://x.com/BlockFlow_News










