phishing
Le phishing est une attaque d'ingénierie sociale où un escroc se fait passer pour une entité de confiance pour tromper quelqu'un et lui faire révéler des clés privées, des phrases de récupération ou des identifiants de connexion.
Les attaques de phishing ciblant les utilisateurs de Bitcoin impliquent généralement de faux sites web, des emails, des extensions de navigateur ou des applications mobiles conçues pour ressembler parfaitement à des services légitimes. Un utilisateur qui saisit sa phrase de récupération ou sa clé privée sur un site de phishing donne à l'attaquant un contrôle complet et irréversible sur ses fonds. Contrairement à la fraude sur les comptes bancaires, il n'existe pas de mécanisme de rétrofacturation dans Bitcoin. Une fois qu'une clé privée est volée, les fonds peuvent être déplacés instantanément et il n'y a aucune autorité à contacter pour la récupération.
Les vecteurs de phishing courants incluent de fausses applications de portefeuille dans les app stores, des domaines sosies (par exemple, "bItc0in.org" au lieu de "bitcoin.org"), des emails affirmant qu'un compte a été suspendu, des extensions de navigateur qui interceptent les données du presse-papiers pour remplacer les adresses copiées, et des comptes de médias sociaux se faisant passer pour des personnalités connues. Les codes QR partagés dans les forums publics ont également été utilisés pour rediriger les paiements vers l'adresse d'un attaquant. Les escrocs utilisent fréquemment l'urgence comme levier, affirmant des offres à durée limitée, des alertes de sécurité ou des promotions de cadeaux pour pousser les utilisateurs à agir sans vérifier.
La défense la plus fiable contre le phishing est de vérifier avant d'agir. Ajoutez en favoris les URL officielles des services que vous utilisez régulièrement et accédez-y uniquement depuis ces favoris. Ne saisissez jamais une phrase de récupération ou une clé privée dans un site web ou une application en aucune circonstance : aucun service légitime ne vous le demandera jamais. Activez l'authentification à deux facteurs sur les comptes d'échange où c'est possible. Lorsque vous copiez une adresse bitcoin, vérifiez au moins les premiers et derniers caractères après avoir collé, car les logiciels malveillants qui détournent le presse-papiers sont une menace réelle et documentée.