L'attaque d'ingénierie sociale Web3 est une méthode qui utilise l'ingénierie sociale pour manipuler les utilisateurs afin qu'ils divulguent des informations confidentielles telles que des comptes utilisateurs et des mots de passe, incitant les utilisateurs à autoriser et à transférer des cryptomonnaies et des actifs NFT, mettant ainsi en péril la sécurité et la confidentialité du réseau Web3. Dans la suite, nous allons présenter six types d'attaques d'ingénierie sociale et fournir des suggestions de prévention spécifiques.

1. 1. Hameçonnage sur Discord

Discord est apparu comme un centre prospère pour les utilisateurs chiffrés, favorisant les connexions communautaires et le partage de nouvelles. Cependant, sa popularité ne le rend pas immune aux menaces potentielles. Dans cet espace dynamique, les acteurs malveillants peuvent discrètement distribuer des liens suspects visant à voler vos précieuses informations d'identification de compte.

Dans les communautés Discord, vous pouvez tomber sur des messages affirmant que vous avez gagné un prix, mais ce sont en réalité des liens de phishing déguisés.

En cliquant sur le lien, vous serez redirigé vers un site web similaire à Discord et vous serez invité à autoriser l'accès.

Après avoir cliqué sur Autoriser, une autre fenêtre de connexion Discord s'affichera.

Tout d'abord, nous ne pouvons pas faire glisser cette fenêtre de connexion en dehors de la fenêtre de navigateur actuelle.

Deuxièmement, il y a des signes suspects dans l’adresse affichée. L’adresse « https :\discord.com\login » utilise une barre oblique inverse () pour se connecter, tandis que l’adresse de connexion officielle »https://discord.com/loginUtilisez un slash (/) pour naviguer.

La page de la fenêtre ressemble beaucoup à la fenêtre de connexion Discord légitime, avec très peu de différences. L'image de la fenêtre de connexion officielle est la suivante :

Une fois que l'utilisateur entre son nom d'utilisateur et son mot de passe sur la page de phishing, son compte personnel sera immédiatement divulgué et des informations sensibles seront exposées. Les fraudeurs peuvent ensuite utiliser ces informations pour accéder de manière non autorisée aux comptes des utilisateurs et se livrer à des activités frauduleuses.

Vérification du code source de la page Web en mode développeur du navigateur

Vous pouvez vérifier le code source de la page Web via le mode développeur du navigateur.

Dans le processus de phishing ci-dessus, après avoir cliqué sur Autorisation, la fausse fenêtre de connexion Discord qui apparaît n'est pas réellement une nouvelle fenêtre, mais une interface intégrée. Comment pouvez-vous découvrir cela ?

Appuyez sur la touche F12 pour entrer en mode développeur du navigateur. Dans l'onglet Éléments, vous pouvez afficher le code HTML et CSS de la page web actuelle. Pour la partie de la page que vous soupçonnez, comme cette fenêtre de connexion Discord qui apparaît, vous pouvez cliquer sur cette section avec la souris, et généralement, vous pouvez trouver le code correspondant dans le panneau Éléments.

En vérifiant le code source de la page, nous avons constaté qu'il s'agit d'une balise utilisée pour insérer une image dans la page Web, et src est utilisé pour spécifier le chemin de l'image.

Accédez au mode développeur du navigateur à partir de la fenêtre de connexion officielle de Discord, comme le montre la figure ci-dessous :

Par conséquent, lorsque nous trouvons une anomalie, nous pouvons appuyer sur F12 pour entrer dans le mode développeur du navigateur et afficher le code source de la page pour déterminer si notre suspicion est correcte. Surtout lorsque vous cliquez sur des liens inconnus pour réclamer des récompenses, vous devriez aborder chaque étape avec suspicion et prudence.

2. Phishing sur Twitter

Sur Twitter (maintenant X), la plateforme populaire pour les passionnés de cryptomonnaie, une menace majeure a émergé - le hameçonnage. Les acteurs malveillants manipulent habilement les utilisateurs avec des largages aériens alléchants et des NFT gratuits. En les redirigeant vers des sites Web trompeurs, ces attaquants planifient méticuleusement la perte de cryptomonnaies et d'actifs NFT précieux.

Les largages aériens et les NFT gratuits sont des domaines d'intérêt majeur pour beaucoup. Les escrocs profitent de comptes Twitter vérifiés piratés pour lancer des campagnes et rediriger les utilisateurs vers des sites de phishing.

Les escrocs utilisent des actifs de projets NFT légitimes pour créer des sites Web de phishing.

Ils exploitent des services populaires comme Linktree pour rediriger les utilisateurs vers de fausses pages qui imitent les places de marché NFT telles que OpenSea et Magic Eden.

Les attaquants vont essayer de convaincre les utilisateurs de connecter leurs portefeuilles de cryptomonnaie (comme MetaMask ou Phantom) à des sites de phishing. Les utilisateurs non méfiants peuvent involontairement accorder à ces sites de phishing l'accès à leurs portefeuilles. Grâce à ce processus, les escrocs peuvent transférer des cryptomonnaies telles qu'Ethereum ($ETH) ou Solana ($SOL), ainsi que tout NFT détenu dans ces portefeuilles.

Soyez prudent avec les liens suspects sur Linktree

Lorsque les utilisateurs ajoutent des liens pertinents dans Linktree ou d'autres services similaires, ils doivent vérifier le nom de domaine du lien. Avant de cliquer sur un lien, vérifiez que le nom de domaine lié correspond au vrai nom de domaine du marché NFT. Les escrocs peuvent utiliser des noms de domaine similaires pour imiter les marchés réels. Par exemple, le marché réel pourrait être opensea.io, tandis que le faux marché pourrait être openseea.io ou opensea.com.co, etc.

Par conséquent, il est préférable que les utilisateurs choisissent d'ajouter manuellement des liens. Voici les étapes pour ajouter manuellement un lien :

Tout d'abord, vous devez trouver l'adresse du site officiel que vous souhaitez lierhttps://opensea.io/, et copiez l'URL.

Cliquez sur "Ajouter un lien" dans Linktree, entrez l'URL que vous venez de copier, et cliquez sur le bouton "Ajouter".

Après l'ajout réussi, vous pouvez voir "Opensea" sur la droite. Cliquez sur "Opensea" pour être redirigé vers le site officiel d'Opensea.

3. Web Spoofing / Phishing

Ici, nous expliquerons comment les attaquants construisent leurs domaines de site de phishing pour se faire passer pour le site officiel de OpenAI et tromper les utilisateurs en les incitant à se connecter à leur propre portefeuille de cryptomonnaie, ce qui entraîne la perte de cryptomonnaies ou de NFT.

Les escrocs envoient des e-mails d'hameçonnage et des liens avec des lignes d'objet telles que "Ne manquez pas l'airdrop de jetons OpenAI DEFI à durée limitée." L'e-mail d'hameçonnage affirme que le GPT-4 n'est désormais disponible que pour ceux qui possèdent des jetons OpenAI.

Après avoir cliqué sur le bouton "Démarrer", vous serez redirigé vers le site de phishing, openai.com-token.info.

Connectez votre portefeuille à un site Web de phishing.

Les utilisateurs sont incités à cliquer sur un bouton "Cliquez ici pour réclamer", et en cliquant, ils peuvent choisir de se connecter en utilisant des portefeuilles de cryptomonnaie populaires tels que MetaMask ou WalletConnect.

Après que la connexion est établie, les sites de phishing peuvent automatiquement transférer tous les jetons de cryptomonnaie ou les actifs NFT du portefeuille de l'utilisateur vers le portefeuille de l'attaquant, volant ainsi tous les actifs du portefeuille.

Reconnaître les noms de domaine authentiques et falsifiés

Si vous savez comment identifier les noms de domaine dans les URL, vous serez en mesure d'éviter efficacement le spoofing/phishing sur le web. Ci-dessous, les composants clés d'un nom de domaine sont expliqués.

En général, les sites Web courants sont des noms de domaine de deuxième niveau ou des noms de domaine de troisième niveau.

1. Le nom de domaine de deuxième niveau se compose du nom de domaine principal et du nom de domaine de premier niveau, tel que google.com. Parmi eux, "google" est le nom de domaine principal, qui est la partie centrale du nom de domaine et représente le nom du site Web. ".com" est le nom de domaine de premier niveau, qui est la dernière partie du nom de domaine et indique la catégorie ou le type de domaine, tel que .com, .net, .org, etc. ".com" représente un site Web commercial.
2. Le nom de domaine de troisième niveau est composé du nom de domaine principal, des sous-domaines et des domaines de premier niveau, par exemple, mail.google.com. "mail" est un nom de sous-domaine, "google" est le nom de domaine principal et ".com" est le nom de domaine de premier niveau.

Expliquer le site Web de phishing ci-dessus, openai.com-token.info.

1. "openai" est un nom de sous-domaine.
2. "com-token" est le nom de domaine principal.
3. “.info” est un nom de domaine de premier niveau.

De toute évidence, ce site de phishing se fait passer pour OpenAI, et le nom de domaine officiel d'OpenAI est openai.com.

1. "openai" est le nom de domaine principal.
2. “.com” est un nom de domaine de premier niveau.

Comment ce site de phishing a-t-il fait semblant d'être OpenAI ? L'attaquant a rendu la première moitié de l'URL de phishing ressemblant à “openai.com” en utilisant le sous-domaine “openai” et le domaine principal “.com-token”, où “com-token” utilise des tirets.

4. Hameçonnage sur Telegram

Le phishing sur Telegram est un problème de cybersécurité notable. Dans ces attaques, les acteurs malveillants cherchent à prendre le contrôle des navigateurs web des utilisateurs pour obtenir des informations critiques sur les comptes. Pour illustrer ce point de manière plus claire, examinons un exemple étape par étape.

Les escrocs envoient des messages privés aux utilisateurs sur Telegram, contenant un lien vers le dernier film « Avatar 2 », et l'adresse semble être directe.

Une fois que vous ouvrez le lien, vous arriverez sur une page qui ressemble à un vrai lien vers le film, et vous pourrez même regarder la vidéo. Cependant, à ce moment-là, le pirate informatique avait pris le contrôle du navigateur de l'utilisateur.

D'un point de vue de pirate informatique, examinons comment ils exploitent les vulnérabilités du navigateur à l'aide d'outils d'exploitation pour prendre le contrôle de votre navigateur.

Après avoir examiné le panneau de contrôle des pirates, il est apparu clairement qu'ils avaient accès à toutes les informations sur les utilisateurs naviguant. Cela inclut l'adresse IP de l'utilisateur, les cookies, le fuseau horaire du proxy, etc.

Les pirates ont la capacité de passer à l'interface d'hameçonnage de Google Mail et de mener des attaques d'hameçonnage contre les utilisateurs de Gmail.

À ce stade, l'interface frontale change pour la page de connexion à Google Mail. L'utilisateur saisit ses identifiants de compte et clique sur le bouton de connexion.

En arrière-plan, les pirates informatiques reçoivent avec succès le nom d'utilisateur et le mot de passe de connexion. En utilisant cette méthode, ils obtiennent malicieusement les informations de compte et de mot de passe des utilisateurs, entraînant finalement la fuite d'informations utilisateur et causant des pertes financières.

Vérifiez le script JavaScript chargé à distance dans le code source de la page Web

Vous pouvez entrer en mode développeur du navigateur et vérifier s'il y a des scripts JavaScript chargés à distance dans le code source de la page web. Ce script est la clé pour que l'attaquant contrôle le navigateur de l'utilisateur. Comment pouvez-vous déterminer s'il y a un tel script de phishing dans le lien que vous avez cliqué ?

Dans le processus de phishing mentionné ci-dessus, lorsque vous entrez le lien pour le film "Avatar 2", vous pouvez appuyer sur la touche F12 pour entrer dans le mode développeur du navigateur et découvrir que le lien pointe vers un script JavaScript chargé à distance. Les pirates informatiques peuvent contrôler le navigateur à distance en exécutant le script, obtenant ainsi le compte et le mot de passe de l'utilisateur.

En regardant le film "Avatar 2" sur un site web ordinaire, nous sommes entrés en mode développeur du navigateur et n'avons trouvé aucun script JavaScript pointant vers un chargement à distance.

5. Hameçonnage Metamask

Ici, en prenant le plug-in Metamask comme exemple, nous expliquerons comment les attaquants peuvent voler les clés privées du portefeuille des utilisateurs en utilisant ce plug-in.

L'attaquant obtient les informations de contact de l'utilisateur ciblé, telles que l'adresse e-mail ou le compte de médias sociaux. Les attaquants se font passer pour des entités de confiance, telles que l'équipe officielle de Metamask ou des partenaires, et envoient des e-mails de phishing ou des messages sur les médias sociaux aux utilisateurs ciblés. Les utilisateurs reçoivent un e-mail se faisant passer pour MetaMask, demandant de vérifier leur portefeuille :

Lorsque l'utilisateur clique sur "Vérifiez votre portefeuille", il sera dirigé vers la page suivante. Cette page prétend être le site Web officiel ou la page de connexion de Metamask. Lors d'attaques de phishing réelles, nous avons identifié deux pages de phishing différentes. Le premier demande directement aux utilisateurs de saisir leur clé privée, tandis que le second demande la phrase de récupération de l'utilisateur. Tous deux sont conçus pour obtenir la clé Metamask de l'utilisateur.

L'attaquant obtient la clé privée ou la phrase de récupération de la victime et peut utiliser ces informations pour accéder et contrôler le portefeuille Metamask de l'utilisateur cible et profiter en transférant ou en volant la cryptomonnaie de l'utilisateur cible.

Vérifiez l'e-mail et le domaine de Metamask

Si vous avez besoin d'installer l'extension Metamask sur Chrome, le lien officiel esthttps://metamask.io/

Un lien d'hameçonnage est https://metamaskpro.metamaskglobal.top/#/Veuillez être prudent et vérifiez son authenticité.

Lorsque vous recevez un e-mail qui semble être Metamask, vous devez prêter attention aux informations de l'expéditeur et du destinataire :

Le nom et l'adresse e-mail de l'expéditeur comportent des erreurs de frappe graves : "Metamaks" au lieu de "MetaMask".

Le destinataire n'inclut pas votre vrai nom, d'autres informations vous identifiant, et une description plus claire de ce qui doit être fait. Cela prouve que cet e-mail peut être envoyé en masse et pas seulement à vous.

Deuxièmement, vous pouvez également vérifier l'authenticité de ces liens par nom de domaine：

Cliquez sur "Vérifier votre portefeuille" pour accéder à la page de phishing, metamask.authorize-web.org. Analysez ce nom de domaine :

1. “metamask” est un sous-domaine
2. "authorize-web" est le nom de domaine principal
3. “.org” est le nom de domaine de premier niveau

Si vous connaissez le nom de domaine officiel de metamask, metamask.io, vous trouverez facilement que vous avez été attaqué par une attaque de phishing :

1. "metamask" est le nom de domaine principal
2. “.io” est le nom de domaine de premier niveau

Le nom de domaine du site de phishing, metamask.authorize-web.org, dispose d'un certificat SSL, ce qui trompe les utilisateurs en pensant qu'il s'agit d'un endroit sûr pour trader. Mais vous devez noter que l'utilisation de MetaMask se fait uniquement sous le nom de sous-domaine du domaine de premier niveau enregistré.

6. Phishing par VPN

Un VPN est une technologie de chiffrement utilisée pour protéger l'identité et le trafic des utilisateurs d'Internet. Il chiffre et transmet les données utilisateur en établissant un tunnel sécurisé entre l'utilisateur et Internet, ce qui rend difficile pour les tiers d'envahir et de voler des données. Cependant, de nombreux VPN sont des VPN de phishing, tels que PandaVPN, letsvpn et LightyearVPN, pour n'en citer que quelques-uns. Les VPN de phishing divulguent généralement l'adresse IP de l'utilisateur.

Lorsque vous vous connectez en utilisant un VPN, votre appareil envoie une demande DNS au serveur VPN pour obtenir l'adresse IP du site Web que vous souhaitez visiter. Idéalement, un VPN devrait gérer ces demandes DNS et les envoyer à travers le tunnel VPN vers le serveur VPN, masquant ainsi votre véritable adresse IP. Si vous utilisez un VPN de phishing, une fuite DNS peut se produire et votre véritable adresse IP peut être enregistrée dans les journaux de requêtes DNS, rendant vos activités en ligne et vos enregistrements d'accès traçables. Cela peut compromettre votre vie privée et votre anonymat, surtout si vous essayez de cacher votre véritable adresse IP.

Auto-vérification des fuites IP

Lorsque vous utilisez un VPN pour surfer sur Internet, vous pouvez tester si le VPN divulgue votre adresse IP via les sites Web ipleak.net ou ip8.com. Ces sites Web ne peuvent afficher que votre adresse IP publique, c’est-à-dire l’adresse IP attribuée à votre connexion Internet. Si vous utilisez un service VPN, ces sites Web afficheront l’adresse IP du serveur VPN auquel vous êtes connecté, plutôt que votre adresse IP réelle. Cela peut vous aider à vérifier si le VPN cache avec succès votre véritable adresse IP.

Vous pouvez vérifier si votre adresse IP a été compromise en suivant les instructions ci-dessous :

Ouvrez votre navigateur et visitez ipleak.net, qui affichera votre adresse IP actuelle. Comme le montre l'image ci-dessous, votre adresse IP apparaît comme 114.45.209.20. Et a souligné que «Si vous utilisez un proxy, c'est un proxy transparent.» Cela indique que votre adresse IP n'a pas été divulguée et que votre connexion VPN masque avec succès votre vraie adresse IP.

À ce moment, vous pouvez également interroger votre adresse IP réelle via la ligne de commande ipconfig /all. Si l'adresse IP interrogée ici est différente de celle interrogée via ipleak.net, cela signifie que votre adresse IP est effectivement cachée. S'ils correspondent, votre adresse IP est exposée. Comme le montre la figure ci-dessous, l'adresse IP réelle de la machine interrogée via ipconfig /all est 192.168.., qui n'est pas cohérent avec 114.45.209.20 indiqué dans la figure ci-dessus, et l'adresse IP n'est pas divulguée.

Résumer

En résumé, nous avons introduit en détail six attaques d'ingénierie sociale Web3 et fourni des mesures d'identification et de prévention correspondantes. Pour éviter efficacement les attaques d'ingénierie sociale Web3, vous devez être plus vigilant par rapport aux liens, e-mails et messages inconnus des plateformes sociales. De plus, nous vous recommandons également d'apprendre à vérifier le code source des pages web dans le mode développeur du navigateur, comment identifier les noms de domaine réels et faux, comment vérifier si l'adresse IP est divulguée et analyser les risques de sécurité impliqués. Si vous avez d'autres questions sur la sécurité Web3 ou l'audit des contrats intelligents, n'hésitez pas à nous contacter.connecter. Un membre de notre équipe vous répondra et vous aidera dès que possible.

Avertissement：

1. Cet article est repris de [ ForesighNews]. Tous les droits d'auteur appartiennent à l'auteur original [Salus]. If there are objections to this reprint, please contact the Gate Learnéquipe, et ils s'en occuperont rapidement.
2. Responsabilité de déni: Les points de vue et opinions exprimés dans cet article sont uniquement ceux de l'auteur et ne constituent aucun conseil en investissement.
3. Les traductions de l'article dans d'autres langues sont réalisées par l'équipe Gate Learn. Sauf mention contraire, la copie, la distribution, ou le plagiat des articles traduits est interdit.