Les attaques par ingénierie sociale ciblent les plateformes de trading, avec des pertes annuelles de 300 millions de dollars. Analyse complète des mesures de réponse.
Les attaques d'ingénierie sociale deviennent une menace majeure pour la sécurité des actifs en chiffrement
Ces dernières années, les attaques d'ingénierie sociale ciblant les utilisateurs d'actifs de chiffrement sont devenues de plus en plus fréquentes, devenant l'un des principaux moyens de menacer la sécurité des fonds des utilisateurs. Depuis 2025, des événements de fraude par ingénierie sociale ciblant les utilisateurs d'une plateforme d'échange bien connue se sont multipliés, suscitant une large attention dans l'industrie. D'après les discussions dans la communauté, ces événements ne sont pas des cas isolés, mais plutôt une nouvelle forme d'escroquerie ayant des caractéristiques de durabilité et d'organisation.
Le 15 mai, la plateforme d'échange a publié un communiqué confirmant les précédentes spéculations concernant la présence d'un "taupe" au sein de la plateforme. Il est rapporté que le département de la Justice des États-Unis a ouvert une enquête sur cet incident de fuite de données.
Cet article révélera les principales méthodes utilisées par les escrocs en organisant les informations fournies par plusieurs chercheurs en sécurité et victimes, et explorera les stratégies de réponse du point de vue de la plateforme et des utilisateurs.
Analyse historique
"Au cours de la seule semaine passée, plus de 45 millions de dollars ont été volés à des utilisateurs d'une plateforme en raison d'escroqueries par ingénierie sociale", a écrit le détective de la chaîne Zach dans une mise à jour sur les réseaux sociaux le 7 mai.
Au cours de l'année écoulée, Zach a plusieurs fois révélé que des utilisateurs de la plateforme avaient été victimes de vols, certains victimes ayant perdu jusqu'à plusieurs millions de dollars. Une enquête détaillée qu'il a publiée en février 2025 montre qu'entre décembre 2024 et janvier 2025, les pertes financières causées par ce type d'escroquerie ont déjà dépassé 65 millions de dollars. La plateforme est confrontée à une grave crise de "fraude sociale", ces attaques continuant d'atteindre une échelle annuelle de 300 millions de dollars, portant atteinte à la sécurité des actifs des utilisateurs. Zach a également souligné :
Les groupes qui dirigent ce type d'escroquerie se divisent principalement en deux catégories : d'une part, des attaquants de bas niveau provenant de cercles spécifiques, d'autre part, des organisations criminelles en ligne basées en Inde ;
Les groupes de fraude ciblent principalement les utilisateurs américains, avec des méthodes d'attaque standardisées et des scripts de conversation bien établis ;
Le montant réel des pertes peut être bien supérieur aux statistiques visibles sur la chaîne, car il n'inclut pas des informations non publiées telles que les tickets de support client et les rapports de police qui ne sont pas accessibles.
Méthodes de fraude
Dans cet incident, le système technique de la plateforme n'a pas été compromis, les fraudeurs ont utilisé les droits d'un employé interne pour obtenir certaines informations sensibles des utilisateurs. Ces informations comprennent : nom, adresse, coordonnées, données de compte, photo de carte d'identité, etc. Le but final des fraudeurs est d'utiliser des méthodes d'ingénierie sociale pour inciter les utilisateurs à effectuer un virement.
Ce type d'attaque a modifié les méthodes de phishing traditionnelles en "filet", se tournant vers une "frappe précise", ce qui en fait une fraude sociale "sur mesure". Le chemin typique de l'infraction est le suivant :
1. Contacter les utilisateurs en tant que "service client officiel"
Les escrocs utilisent un système téléphonique contrefait (PBX) pour se faire passer pour le service client de la plateforme, appelant les utilisateurs en leur disant que leur "compte a subi une connexion illégale" ou "une anomalie de retrait a été détectée", créant ainsi une atmosphère d'urgence. Ils envoient ensuite des e-mails ou des SMS de phishing réalistes, contenant de faux numéros de dossier ou des liens vers des "processus de récupération", incitant les utilisateurs à agir. Ces liens peuvent pointer vers une interface clonée de la plateforme, et peuvent même envoyer des e-mails semblant provenir d'un domaine officiel, certains e-mails utilisant des techniques de redirection pour contourner les protections de sécurité.
2. Guider les utilisateurs à télécharger un portefeuille auto-hébergé
Les escrocs incitent les utilisateurs à transférer des fonds vers un "portefeuille sécurisé" sous prétexte de "protéger les actifs", en les aidant à installer un portefeuille autogéré et en les guidant pour transférer les actifs initialement détenus sur la plateforme vers le nouveau portefeuille créé.
3. Inciter les utilisateurs à utiliser les mots de passe mnémotechniques fournis par les escrocs
Contrairement à la "récupération de mots de passe" traditionnelle, les escrocs fournissent directement un ensemble de mots de passe générés par leurs soins, incitant les utilisateurs à les utiliser comme "nouveau portefeuille officiel".
4. Les escrocs volent des fonds
Les victimes, dans un état de tension, d'anxiété et de confiance envers le "service clientèle", tombent facilement dans le piège. Pour elles, un nouveau portefeuille "offert par l'officiel" semble naturellement plus sûr qu'un ancien portefeuille "suspecté d'avoir été piraté". Le résultat est qu'une fois les fonds transférés dans ce nouveau portefeuille, les escrocs peuvent immédiatement les retirer. Cela confirme à nouveau de manière sanglante le principe "Not your keys, not your coins".
De plus, certains courriels de phishing prétendent "en raison d'une décision de recours collectif, la plateforme va migrer complètement vers des portefeuilles auto-hébergés" et demandent aux utilisateurs de réaliser la migration des actifs dans un délai court. Sous la pression du temps et avec la suggestion psychologique de "directive officielle", les utilisateurs sont plus susceptibles de coopérer.
Selon des chercheurs en sécurité, ces attaques sont souvent planifiées et mises en œuvre de manière organisée :
Chaîne d'outils de fraude améliorée : Les escrocs utilisent des systèmes PBX pour falsifier les numéros d'appel et simuler des appels de service client officiels. Lors de l'envoi de courriels de phishing, ils utilisent des robots sur les réseaux sociaux pour imiter les adresses électroniques officielles, accompagnés d'un "guide de récupération de compte" pour inciter au transfert.
Objectif précis : Les escrocs s'appuient sur des données utilisateur volées acquises via des canaux de médias sociaux et le dark web pour cibler des utilisateurs spécifiques dans certaines régions, et ils peuvent même utiliser l'IA pour traiter les données volées, segmenter et recombiner les numéros de téléphone, générer des fichiers TXT en masse, puis envoyer des SMS frauduleux à l'aide de logiciels de piratage.
Processus de manipulation cohérent : des appels téléphoniques, des SMS aux e-mails, les chemins de fraude sont généralement sans couture. Les expressions de phishing courantes incluent "demande de retrait reçue sur le compte", "mot de passe réinitialisé", "connexion anormale au compte", etc., incitant continuellement les victimes à effectuer une "validation de sécurité" jusqu'à ce que le transfert de portefeuille soit complété.
Analyse des flux de fonds sur la chaîne
Grâce au système de lutte contre le blanchiment d'argent et de traçage en chaîne, une analyse de certaines adresses de fraudeurs a révélé que ces fraudeurs possédaient de solides compétences en matière d'opérations en chaîne. Voici quelques informations clés :
Les cibles d'attaque des escrocs couvrent une variété d'actifs détenus par les utilisateurs de la plateforme, et l'activité de ces adresses est concentrée entre décembre 2024 et mai 2025. Les actifs ciblés sont principalement le BTC et l'ETH. Le BTC est actuellement la principale cible de fraude, avec plusieurs adresses réalisant des gains allant jusqu'à plusieurs centaines de BTC en une seule fois, pour une valeur unitaire de plusieurs millions de dollars.
Après l'acquisition des fonds, les escrocs utilisent rapidement un processus de nettoyage pour échanger et transférer les actifs, le modèle principal est le suivant :
Les actifs de type ETH sont souvent échangés rapidement contre DAI ou USDT via un DEX, puis transférés de manière dispersée vers plusieurs nouvelles adresses, certains actifs entrant sur des plateformes d'échange centralisées ;
BTC est principalement transféré sur Ethereum via des ponts inter-chaînes, puis échangé contre DAI ou USDT, afin d'éviter les risques de traçabilité.
Plusieurs adresses de fraude restent dans un état de "repos" après avoir reçu DAI ou USDT, et n'ont pas encore été transférées.
Pour éviter que votre adresse n'interagisse avec des adresses suspectes et ainsi faire face au risque de gel d'actifs, il est conseillé aux utilisateurs d'utiliser un système de détection des risques de blanchiment d'argent et de traçage sur la chaîne avant de réaliser une transaction, afin d'éviter efficacement les menaces potentielles.
Mesures de réponse
plateforme
Les principales méthodes de sécurité actuelles sont davantage axées sur la protection "au niveau technique", tandis que les escroqueries par ingénierie sociale contournent souvent ces mécanismes, frappant directement les vulnérabilités psychologiques et comportementales des utilisateurs. Par conséquent, il est conseillé aux plateformes d'intégrer l'éducation des utilisateurs, la formation à la sécurité et la conception de l'utilisabilité, afin d'établir une ligne de défense sécuritaire "orientée vers l'humain".
Envoi régulier de contenu éducatif contre la fraude : améliorer la capacité des utilisateurs à se défendre contre le phishing via des pop-ups d'application, des interfaces de confirmation de transaction, des e-mails, etc.
Optimiser le modèle de gestion des risques en introduisant "la détection interactive des comportements anormaux" : la plupart des escroqueries par ingénierie sociale incitent les utilisateurs à effectuer une série d'actions (comme des virements, des modifications de liste blanche, des liaisons d'appareils, etc.) en peu de temps. La plateforme devrait identifier les combinaisons d'interactions suspectes basées sur un modèle de chaîne de comportement (comme "interactions fréquentes + nouvelle adresse + retrait important"), déclenchant une période de réflexion ou un mécanisme de réexamen manuel.
Normaliser les canaux de service client et les mécanismes de vérification : Les escrocs se font souvent passer pour des agents du service client afin de tromper les utilisateurs. La plateforme doit unifier les modèles d'appels téléphoniques, de SMS et d'e-mails, et fournir un "point d'entrée de vérification du service client", en précisant le seul canal de communication officiel, afin d'éviter toute confusion.
utilisateur
Mettre en œuvre une politique d'isolement des identités : éviter que plusieurs plateformes partagent la même adresse e-mail ou numéro de téléphone pour réduire les risques connexes, et utiliser des outils de vérification des fuites pour vérifier régulièrement si l'adresse e-mail a été compromise.
Activer la liste blanche de transfert et le mécanisme de refroidissement des retraits : définir des adresses de confiance pour réduire le risque de perte de fonds en cas d'urgence.
Restez informé des actualités en matière de sécurité : par le biais d'entreprises de sécurité, de médias, de plateformes de trading, etc., pour connaître les dernières tendances des méthodes d'attaque et rester vigilant. Actuellement, plusieurs entreprises de sécurité développent une plateforme de simulation de phishing Web3, qui simulera diverses méthodes typiques de phishing, y compris l'injection sociale, le phishing par signature, les interactions avec des contrats malveillants, etc., et mettra à jour continuellement le contenu des scénarios en combinant des cas réels. Cela permettra aux utilisateurs d'améliorer leur capacité à identifier et à réagir dans un environnement sans risque.
Attention aux risques hors ligne et à la protection de la vie privée : la fuite d'informations personnelles peut également entraîner des problèmes de sécurité personnelle.
Ce n'est pas un souci exagéré, depuis le début de l'année, les praticiens/utilisateurs du chiffrement ont été confrontés à plusieurs incidents menaçant leur sécurité personnelle. Étant donné que les données divulguées comprennent des noms, des adresses, des coordonnées, des données de compte, des photos de carte d'identité, les utilisateurs concernés doivent également rester vigilants hors ligne et veiller à leur sécurité.
En résumé, restez sceptique et continuez à vérifier. Pour toute opération urgente, assurez-vous de demander à l'autre partie de prouver son identité et de vérifier indépendamment par des canaux officiels, afin d'éviter de prendre des décisions irréversibles sous pression.
Résumé
Cet incident met de nouveau en lumière les lacunes évidentes dans la protection des données clients et des actifs face à des techniques d'attaque sociale de plus en plus sophistiquées. Il convient de rester vigilant : même si les postes concernés au sein de la plateforme n'ont pas d'autorité financière, un manque de conscience et de capacités de sécurité peut également entraîner de graves conséquences en raison de fuites involontaires ou de manipulations. Alors que la taille de la plateforme continue d'augmenter, la complexité du contrôle de la sécurité du personnel augmente également, devenant ainsi l'un des risques les plus difficiles à surmonter dans l'industrie. Par conséquent, la plateforme doit non seulement renforcer les mécanismes de sécurité sur la chaîne, mais aussi construire systématiquement un "système de défense contre les attaques sociales" qui couvre le personnel interne et les services externalisés, intégrant ainsi le risque humain dans la stratégie de sécurité globale.
De plus, une fois qu'une attaque est identifiée comme n'étant pas un événement isolé, mais plutôt une menace continue et organisée à grande échelle, la plateforme doit répondre immédiatement, en effectuant activement des vérifications des vulnérabilités potentielles, en alertant les utilisateurs sur les mesures de prévention, et en contrôlant l'étendue des dommages. Ce n'est qu'en répondant à la fois sur le plan technique et organisationnel que l'on peut réellement maintenir la confiance et les limites dans un environnement de sécurité de plus en plus complexe.
Voir l'original
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
12 J'aime
Récompense
12
8
Reposter
Partager
Commentaire
0/400
BearMarketGardener
· 07-14 02:49
Il est difficile de se méfier des traîtres, les frères.
Les attaques par ingénierie sociale ciblent les plateformes de trading, avec des pertes annuelles de 300 millions de dollars. Analyse complète des mesures de réponse.
Les attaques d'ingénierie sociale deviennent une menace majeure pour la sécurité des actifs en chiffrement
Ces dernières années, les attaques d'ingénierie sociale ciblant les utilisateurs d'actifs de chiffrement sont devenues de plus en plus fréquentes, devenant l'un des principaux moyens de menacer la sécurité des fonds des utilisateurs. Depuis 2025, des événements de fraude par ingénierie sociale ciblant les utilisateurs d'une plateforme d'échange bien connue se sont multipliés, suscitant une large attention dans l'industrie. D'après les discussions dans la communauté, ces événements ne sont pas des cas isolés, mais plutôt une nouvelle forme d'escroquerie ayant des caractéristiques de durabilité et d'organisation.
Le 15 mai, la plateforme d'échange a publié un communiqué confirmant les précédentes spéculations concernant la présence d'un "taupe" au sein de la plateforme. Il est rapporté que le département de la Justice des États-Unis a ouvert une enquête sur cet incident de fuite de données.
Cet article révélera les principales méthodes utilisées par les escrocs en organisant les informations fournies par plusieurs chercheurs en sécurité et victimes, et explorera les stratégies de réponse du point de vue de la plateforme et des utilisateurs.
Analyse historique
"Au cours de la seule semaine passée, plus de 45 millions de dollars ont été volés à des utilisateurs d'une plateforme en raison d'escroqueries par ingénierie sociale", a écrit le détective de la chaîne Zach dans une mise à jour sur les réseaux sociaux le 7 mai.
Au cours de l'année écoulée, Zach a plusieurs fois révélé que des utilisateurs de la plateforme avaient été victimes de vols, certains victimes ayant perdu jusqu'à plusieurs millions de dollars. Une enquête détaillée qu'il a publiée en février 2025 montre qu'entre décembre 2024 et janvier 2025, les pertes financières causées par ce type d'escroquerie ont déjà dépassé 65 millions de dollars. La plateforme est confrontée à une grave crise de "fraude sociale", ces attaques continuant d'atteindre une échelle annuelle de 300 millions de dollars, portant atteinte à la sécurité des actifs des utilisateurs. Zach a également souligné :
Méthodes de fraude
Dans cet incident, le système technique de la plateforme n'a pas été compromis, les fraudeurs ont utilisé les droits d'un employé interne pour obtenir certaines informations sensibles des utilisateurs. Ces informations comprennent : nom, adresse, coordonnées, données de compte, photo de carte d'identité, etc. Le but final des fraudeurs est d'utiliser des méthodes d'ingénierie sociale pour inciter les utilisateurs à effectuer un virement.
Ce type d'attaque a modifié les méthodes de phishing traditionnelles en "filet", se tournant vers une "frappe précise", ce qui en fait une fraude sociale "sur mesure". Le chemin typique de l'infraction est le suivant :
1. Contacter les utilisateurs en tant que "service client officiel"
Les escrocs utilisent un système téléphonique contrefait (PBX) pour se faire passer pour le service client de la plateforme, appelant les utilisateurs en leur disant que leur "compte a subi une connexion illégale" ou "une anomalie de retrait a été détectée", créant ainsi une atmosphère d'urgence. Ils envoient ensuite des e-mails ou des SMS de phishing réalistes, contenant de faux numéros de dossier ou des liens vers des "processus de récupération", incitant les utilisateurs à agir. Ces liens peuvent pointer vers une interface clonée de la plateforme, et peuvent même envoyer des e-mails semblant provenir d'un domaine officiel, certains e-mails utilisant des techniques de redirection pour contourner les protections de sécurité.
2. Guider les utilisateurs à télécharger un portefeuille auto-hébergé
Les escrocs incitent les utilisateurs à transférer des fonds vers un "portefeuille sécurisé" sous prétexte de "protéger les actifs", en les aidant à installer un portefeuille autogéré et en les guidant pour transférer les actifs initialement détenus sur la plateforme vers le nouveau portefeuille créé.
3. Inciter les utilisateurs à utiliser les mots de passe mnémotechniques fournis par les escrocs
Contrairement à la "récupération de mots de passe" traditionnelle, les escrocs fournissent directement un ensemble de mots de passe générés par leurs soins, incitant les utilisateurs à les utiliser comme "nouveau portefeuille officiel".
4. Les escrocs volent des fonds
Les victimes, dans un état de tension, d'anxiété et de confiance envers le "service clientèle", tombent facilement dans le piège. Pour elles, un nouveau portefeuille "offert par l'officiel" semble naturellement plus sûr qu'un ancien portefeuille "suspecté d'avoir été piraté". Le résultat est qu'une fois les fonds transférés dans ce nouveau portefeuille, les escrocs peuvent immédiatement les retirer. Cela confirme à nouveau de manière sanglante le principe "Not your keys, not your coins".
De plus, certains courriels de phishing prétendent "en raison d'une décision de recours collectif, la plateforme va migrer complètement vers des portefeuilles auto-hébergés" et demandent aux utilisateurs de réaliser la migration des actifs dans un délai court. Sous la pression du temps et avec la suggestion psychologique de "directive officielle", les utilisateurs sont plus susceptibles de coopérer.
Selon des chercheurs en sécurité, ces attaques sont souvent planifiées et mises en œuvre de manière organisée :
Analyse des flux de fonds sur la chaîne
Grâce au système de lutte contre le blanchiment d'argent et de traçage en chaîne, une analyse de certaines adresses de fraudeurs a révélé que ces fraudeurs possédaient de solides compétences en matière d'opérations en chaîne. Voici quelques informations clés :
Les cibles d'attaque des escrocs couvrent une variété d'actifs détenus par les utilisateurs de la plateforme, et l'activité de ces adresses est concentrée entre décembre 2024 et mai 2025. Les actifs ciblés sont principalement le BTC et l'ETH. Le BTC est actuellement la principale cible de fraude, avec plusieurs adresses réalisant des gains allant jusqu'à plusieurs centaines de BTC en une seule fois, pour une valeur unitaire de plusieurs millions de dollars.
Après l'acquisition des fonds, les escrocs utilisent rapidement un processus de nettoyage pour échanger et transférer les actifs, le modèle principal est le suivant :
Les actifs de type ETH sont souvent échangés rapidement contre DAI ou USDT via un DEX, puis transférés de manière dispersée vers plusieurs nouvelles adresses, certains actifs entrant sur des plateformes d'échange centralisées ;
BTC est principalement transféré sur Ethereum via des ponts inter-chaînes, puis échangé contre DAI ou USDT, afin d'éviter les risques de traçabilité.
Plusieurs adresses de fraude restent dans un état de "repos" après avoir reçu DAI ou USDT, et n'ont pas encore été transférées.
Pour éviter que votre adresse n'interagisse avec des adresses suspectes et ainsi faire face au risque de gel d'actifs, il est conseillé aux utilisateurs d'utiliser un système de détection des risques de blanchiment d'argent et de traçage sur la chaîne avant de réaliser une transaction, afin d'éviter efficacement les menaces potentielles.
Mesures de réponse
plateforme
Les principales méthodes de sécurité actuelles sont davantage axées sur la protection "au niveau technique", tandis que les escroqueries par ingénierie sociale contournent souvent ces mécanismes, frappant directement les vulnérabilités psychologiques et comportementales des utilisateurs. Par conséquent, il est conseillé aux plateformes d'intégrer l'éducation des utilisateurs, la formation à la sécurité et la conception de l'utilisabilité, afin d'établir une ligne de défense sécuritaire "orientée vers l'humain".
utilisateur
Mettre en œuvre une politique d'isolement des identités : éviter que plusieurs plateformes partagent la même adresse e-mail ou numéro de téléphone pour réduire les risques connexes, et utiliser des outils de vérification des fuites pour vérifier régulièrement si l'adresse e-mail a été compromise.
Activer la liste blanche de transfert et le mécanisme de refroidissement des retraits : définir des adresses de confiance pour réduire le risque de perte de fonds en cas d'urgence.
Restez informé des actualités en matière de sécurité : par le biais d'entreprises de sécurité, de médias, de plateformes de trading, etc., pour connaître les dernières tendances des méthodes d'attaque et rester vigilant. Actuellement, plusieurs entreprises de sécurité développent une plateforme de simulation de phishing Web3, qui simulera diverses méthodes typiques de phishing, y compris l'injection sociale, le phishing par signature, les interactions avec des contrats malveillants, etc., et mettra à jour continuellement le contenu des scénarios en combinant des cas réels. Cela permettra aux utilisateurs d'améliorer leur capacité à identifier et à réagir dans un environnement sans risque.
Attention aux risques hors ligne et à la protection de la vie privée : la fuite d'informations personnelles peut également entraîner des problèmes de sécurité personnelle.
Ce n'est pas un souci exagéré, depuis le début de l'année, les praticiens/utilisateurs du chiffrement ont été confrontés à plusieurs incidents menaçant leur sécurité personnelle. Étant donné que les données divulguées comprennent des noms, des adresses, des coordonnées, des données de compte, des photos de carte d'identité, les utilisateurs concernés doivent également rester vigilants hors ligne et veiller à leur sécurité.
En résumé, restez sceptique et continuez à vérifier. Pour toute opération urgente, assurez-vous de demander à l'autre partie de prouver son identité et de vérifier indépendamment par des canaux officiels, afin d'éviter de prendre des décisions irréversibles sous pression.
Résumé
Cet incident met de nouveau en lumière les lacunes évidentes dans la protection des données clients et des actifs face à des techniques d'attaque sociale de plus en plus sophistiquées. Il convient de rester vigilant : même si les postes concernés au sein de la plateforme n'ont pas d'autorité financière, un manque de conscience et de capacités de sécurité peut également entraîner de graves conséquences en raison de fuites involontaires ou de manipulations. Alors que la taille de la plateforme continue d'augmenter, la complexité du contrôle de la sécurité du personnel augmente également, devenant ainsi l'un des risques les plus difficiles à surmonter dans l'industrie. Par conséquent, la plateforme doit non seulement renforcer les mécanismes de sécurité sur la chaîne, mais aussi construire systématiquement un "système de défense contre les attaques sociales" qui couvre le personnel interne et les services externalisés, intégrant ainsi le risque humain dans la stratégie de sécurité globale.
De plus, une fois qu'une attaque est identifiée comme n'étant pas un événement isolé, mais plutôt une menace continue et organisée à grande échelle, la plateforme doit répondre immédiatement, en effectuant activement des vérifications des vulnérabilités potentielles, en alertant les utilisateurs sur les mesures de prévention, et en contrôlant l'étendue des dommages. Ce n'est qu'en répondant à la fois sur le plan technique et organisationnel que l'on peut réellement maintenir la confiance et les limites dans un environnement de sécurité de plus en plus complexe.