Les vols de comptes Twitter dans l'univers du chiffrement se multiplient : retour sur les nouvelles méthodes d'attaque et stratégies de monétisation des hackers
TechFlow SélectionTechFlow Sélection
Les vols de comptes Twitter dans l'univers du chiffrement se multiplient : retour sur les nouvelles méthodes d'attaque et stratégies de monétisation des hackers
Même avec une protection maximale, il est toujours possible de se faire pirater. Une fois qu'un compte compromis est détecté, la rapidité de la réaction déterminera l'ampleur des pertes.
Dédié à des analyses Web3 approfondies
Au cours des derniers mois, de plus en plus de comptes de médias sociaux appartenant à des projets de cryptomonnaies, des professionnels, des politiciens ou des célébrités ont été piratés, puis utilisés pour diffuser des messages frauduleux. Récemment, certains employés de Bitget ont eux-mêmes été victimes d'attaques par hameçonnage (phishing). Après avoir récupéré leurs comptes, nous avons progressivement découvert les nouvelles méthodes sophistiquées des pirates informatiques, qui sont désormais particulièrement trompeuses et discrètes. C’est pourquoi nous publions cet article dans l’espoir d’aider à renforcer la sécurité de tout le secteur.
Attaque par phishing subie par un employé de Bitget
Mi-mai, un employé de Bitget chargé du développement commercial a reçu un message privé sur X (anciennement Twitter) d’un partenaire supposé, l’invitant à discuter d’une potentielle collaboration. Très vite, les deux parties ont convenu d’un créneau horaire pour une réunion en ligne. Durant cette réunion, l’interlocuteur a envoyé plusieurs fichiers d’installation sous prétexte de « tests fonctionnels », invitant l’employé de Bitget à les installer.
Quelques jours plus tard, cet employé a commencé à recevoir des messages de ses amis et partenaires professionnels : « As-tu envoyé un étrange message privé sur X ? ». En prenant conscience de l’anomalie, il a immédiatement agi avec l’équipe de sécurité de Bitget, récupérant son compte grâce aux informations liées à son adresse e-mail et autres données de sécurité.
Mode opératoire des hackers ciblant les comptes X dans l’écosystème crypto et leurs moyens de profit
Lors de l’enquête de sécurité menée par la suite, nous avons pu reconstituer précisément la méthode utilisée par les hackers ainsi que leur stratégie de monétisation :
Première étape : Le hacker utilise un compte de média social déjà compromis pour envoyer un message privé à sa « victime », puis l’incite à contacter un compte Telegram afin de poursuivre les discussions autour d’une prétendue collaboration
❗ Alerte sécurité :
-
Ces messages privés ne proviennent pas nécessairement de petits comptes suspects ; ils peuvent même provenir de comptes officiels vérifiés, bien que ces messages frauduleux n’aient pas été envoyés par l’équipe officielle
-
À ce stade, le hacker contrôle déjà discrètement le compte officiel et redirige la victime vers un compte Telegram afin de mener à bien l’escroquerie
-
Le pirate supprime généralement immédiatement le message après l’avoir envoyé. Ainsi, même s’il envoie des centaines de messages, le propriétaire du compte reste totalement inconscient de la violation
Deuxième étape : Une fois la victime connectée au compte Telegram du hacker, celui-ci propose une réunion en ligne et invite la victime à télécharger et installer un document spécifique pendant la session
❗ Alerte sécurité :
-
Le compte Telegram du hacker est souvent falsifié pour ressembler à celui d’un employé réel. Les informations personnelles peuvent provenir de plateformes comme LinkedIn. L’identifiant du compte peut être très similaire à celui de la personne légitime, par exemple en confondant le I majuscule (I) et le l minuscule (l)
-
Le fichier d’installation contient du code malveillant. En incitant la victime à l’installer, le hacker obtient un accès à son ordinateur, permettant ainsi de voler le compte de média social, voire des actifs en cryptomonnaie ou en monnaie fiduciaire
Troisième étape : Une fois qu’il a obtenu l’accès à l’appareil de la victime, le hacker tente d’abord de voler directement les actifs. Ensuite, il utilise les comptes X et Telegram de la victime pour identifier de nouvelles cibles, en envoyant des messages privés via le compte compromis afin d’inciter les nouvelles victimes à contacter le compte Telegram contrôlé par le hacker, lançant ainsi un nouveau cycle d’escroquerie
❗ Alerte sécurité :
-
Comme mentionné précédemment, le hacker supprime immédiatement les messages envoyés, empêchant ainsi le propriétaire du compte de détecter l’intrusion
-
Cela explique pourquoi des messages frauduleux peuvent provenir de comptes officiels vérifiés sans que ceux-ci ne prennent aucune mesure — car ils ignorent encore qu’ils ont été piratés
Quatrième étape : Dès qu’un nouveau contact est établi avec une nouvelle victime sur Telegram, le hacker adapte sa méthode d’escroquerie selon l’identité usurpée
❗ Alerte sécurité :
-
Si le hacker se fait passer pour un employé d’une bourse, il proposera généralement une collaboration de listing, demandant un virement préalable
-
Si le hacker se fait passer pour un représentant d’un projet, il utilisera généralement l’argument d’un investissement précoce pour inciter au transfert d’actifs
-
Si le hacker se fait passer pour un membre d’un fonds d’investissement, il invoquera une opportunité de collaboration d’investissement pour pousser à un virement
-
Si l’identité usurpée ne permet pas un gain financier direct, le hacker s’en servira comme tremplin pour inciter d’autres personnes dans le réseau relationnel à installer un cheval de Troie, obtenant ainsi un nouvel accès à un compte, transformant la victime en outil supplémentaire pour de nouvelles escroqueries
Synthèse
La méthode décrite ici partage avec les attaques passées le point commun suivant : le hacker doit toujours infiltrer un cheval de Troie (via l’installation d’un fichier spécifique) pour prendre le contrôle de l’appareil de la victime. Toutefois, elle présente plusieurs améliorations significatives :
-
L’utilisation de comptes X vérifiés pour envoyer des messages privés augmente considérablement la crédibilité de l’attaque, augmentant ainsi le taux de réussite de l’escroquerie
-
La suppression immédiate des messages envoyés rend la détection quasi impossible pour le propriétaire du compte, permettant au hacker de rester longtemps en sommeil dans le compte — contrairement aux cas antérieurs où, après avoir pris le contrôle, le pirate publiait rapidement des tweets frauduleux (fausses promotions, jetons scam, etc.), alertant aussitôt le propriétaire et le public
-
Le compte Telegram utilisé par le hacker pour communiquer avec les victimes est soigneusement falsifié, avec souvent un identifiant très proche de celui d’un employé officiel
Comment reconnaître et se protéger contre ce type d’attaque par hameçonnage ?
-
Soyez vigilant face à toutes les sollicitations,même si elles proviennent d’un compte dit « officiel ». Avant de répondre, vérifiez l’identité de l’expéditeur par d’autres canaux. Si vous connaissez la personne, vérifiez d’abord l’historique de vos conversations précédentes.
-
Ne téléchargez ni n’ouvrez jamais de fichiers envoyés par votre interlocuteur durant une réunion. Si vous devez installer un logiciel comme Teams ou Zoom, rendez-vous uniquement sur le site officiel pour effectuer le téléchargement. Cette règle est cruciale.
-
Pendant les échanges, n’autorisez que le partage audio et vidéo. N’accordez aucun autre droit à Zoom ou Teams, afin d’éviter qu’un hacker puisse prendre le contrôle à distance de votre appareil.
-
Ne vous absentez jamais de votre ordinateur pendant une conversation. Si cela est inévitable, faites surveiller l’écran par une tierce personne, car le hacker pourrait profiter de votre absence pour manipuler votre appareil.
-
Ne sauvegardez jamais vos phrases de récupération (mnémoniques) sur votre ordinateur ou téléphone. Activez systématiquement l’authentification multifacteur (MFA) chaque fois que possible.
-
Utilisez un iPhone mis à jour avec le mode verrouillage activé pour toute activité liée aux fonds. Limitez autant que possible son usage aux communications externes, et séparez-le clairement de vos appareils professionnels ou personnels.
Votre compte a été piraté ? Comment réagir rapidement pour limiter les pertes
Même avec des mesures de protection strictes, il est toujours possible de « tomber dans le piège ». En cas de piratage, la rapidité de votre réponse déterminera l’ampleur des dommages.
-
Éteignez immédiatement votre ordinateur et déconnectez-le du réseau pour couper toute interaction avec le hacker.
-
Effectuez une vérification de sécurité financière (notamment autorisations de portefeuille). Si un pirate a eu accès à votre portefeuille local (extension de navigateur, stockage de clés privées), transférez immédiatement vos actifs vers un nouveau portefeuille (préférez régénérer une nouvelle clé privée sans réutiliser la même phrase mnémonique).
-
Récupérez immédiatement votre compte depuis un autre appareil ou via votre boîte e-mail. Tant que la session active n’est pas expirée, utilisez l’e-mail ou le numéro de téléphone associé pour vous connecter, réinitialisez le mot de passe, puis déconnectez toutes les autres sessions. Dès que le compte est récupéré, désactivez toutes les autorisations de connexion tierces afin d’empêcher tout contrôle ultérieur par le hacker.
-
Informez et alertez votre entourage. Avertissez les autres de ne pas faire confiance aux messages privés récents, signalez les comptes suspects et informez un maximum de personnes pour éviter une propagation en chaîne.
Les cas décrits ici ne sont pas isolés, mais reflètent un défi auquel chaque utilisateur du secteur crypto peut être confronté. Chez Bitget, nous ne nous contentons pas de mettre en place des mécanismes de protection, nous souhaitons aussi, avec vous, transformer la « vigilance » en compétence concrète. La « Mois anti-fraude » de Bitget est en cours : nous avons lancé une série de contenus pédagogiques et d’activités interactives. Nous vous invitons à visiter la page dédiée pour renforcer ensemble vos capacités de détection des arnaques et préserver vos frontières de sécurité.
Bienvenue dans la communauté officielle TechFlow
Groupe Telegram :https://t.me/TechFlowDaily
Compte Twitter officiel :https://x.com/TechFlowPost
Compte Twitter anglais :https://x.com/BlockFlow_News
