L’épidémie d’arnaques au Bitcoin ciblant Twitter a pris une autre tournure cette semaine alors que des cybercriminels ont diffusé leurs escroqueries par tweets, directement à partir de deux comptes vérifiés et très en vue. En effet, ces derniers ont envoyé des messages à partir du compte G Suite de Google et du compte Twitter officiel de Target.
Les arnaques des cadeaux en cryptomonnaie fonctionnent en offrant de l’argent aux victimes. Bien sûr, il y a un piège ici : ils doivent d’abord envoyer une petite somme d’argent pour “vérifier leur adresse”. En retour, l’argent ne sera jamais versé mais les attaquants encaisseront par contre l’argent de leur côté.
L’authenticité est un facteur clé dans ces arnaques au bitcoin. Les comptes au statut vérifié, indiqué par une marque bleue l’incarnent encore plus. Il est donc logique que les attaquants piratent des comptes vérifiés, puis les utilisent pour imiter des personnes médiatisées et comptant de nombreux abonnés. Elon Musk et le fondateur d’Ethereum, Vitalik Buterin, ont tous deux été la cible d’imposteurs.
Mardi, les cybercriminels ont fait encore mieux : en effet, ils ont réussi à compromettre le compte officiel G Suite de Google. Cela leur a donné une plateforme authentifiée pour s’adresser aux 822 000 abonnés du compte au nom de Google, plutôt que de passer pour un autre compte piraté.
L’escroquerie des cadeaux en Bitcoin a rapidement suivi, en affirmant que G Suite acceptait maintenant les paiements par cryptomonnaie et offrait un total de 10 000 Bitcoins (BTC) à “toute la communauté”. Les escrocs ont demandé entre 0,1 et 2 BTC et ont promis d’envoyer dix fois la somme versée. Ils ont également ajouté un bonus : envoyez 1 BTC ou plus et récupérez en plus 200%.
Eh bien, avec une telle offre, qui pourrait dire non ? Heureusement, tout le monde. Un rapide coup d’œil à l’adresse affichée dans cette escroquerie n’a révélé aucune transaction au moment de la rédaction de cet article. C’est probablement parce que Google a rapidement supprimé le message après avoir repéré ce qui s’était passé.
On ne peut pas en dire autant des lecteurs du fil Twitter de Target, qui a été frappé par une attaque similaire le même jour. L’adresse utilisée dans le piratage de Target a également été utilisée lors d’une attaque visant Elon Musk plus tôt cette semaine. Contrairement aux comptes Target et G Suite, Musk n’a pas été piraté. Au lieu de cela, les cybercriminels ont piraté le compte Twitter @farahmenswear, dont le statut a été vérifié, puis ont modifié le nom du compte pour se rapprocher de celui de Musk.
Au total, les arnaques au bitcoin ayant ciblé Musk/Target ont permis d’encaisser 5,86 BTC, pour un montant de 32 700 USD (environ 28 600€), au taux de change d’hier. Hier après-midi, les escrocs ont commencé à encaisser, envoyant de l’argent de l’adresse Bitcoin frauduleuse vers d’autres.
Ce sont les dernières d’une longue série de fraudes impliquant des cryptomonnaies perpétrées sur Twitter, et que l’entreprise a eu du mal à contenir. Il a interdit l’utilisation des handles Elon Musk en juillet, dans un jeu étrange et interminable où les parodistes et les cybercriminels, y compris l’escroc de cette semaine, ont facilement gagné en utilisant des caractères légèrement différents dans des noms ressemblant à Musk.
En septembre, le CEO, Jack Dorsey, a déclaré devant le Congrès que la technologie blockchain pouvait être une solution aux escroqueries généralisées au sein du réseau. Il a déclaré :
La blockchain présente donc, à priori, un potentiel inexploité, notamment en ce qui concerne la confiance et la mise en application distribuée.
Nous n’avons pas encore cherché à comprendre comment nous pourrions appliquer cette technologie aux problèmes auxquels nous sommes confrontés sur Twitter, mais certains personnes, au sein de l’entreprise, y réfléchissent aujourd’hui.
Il s’agit d’une déclaration d’intérêt, pas d’une solution.
Les titulaires de comptes ont également un rôle à jouer. Nous ne savons pas si Google et Target utilisaient l’authentification à deux facteurs, que Twitter a mis en œuvre sous une forme basique en 2013 et a mis à jour pour prendre en charge les applications Authenticator en 2017. Si cela avait été le cas, les pirates l’auraient en quelque sorte contournée. Si ce n’était pas le cas, alors pourquoi pas l’utiliser ?
Alors que Twitter continue d’essayer de résoudre ce problème, il est conseillé à tous ceux qui utilisent Twitter (ou tout autre site ayant cette option) d’activer le 2FA et d’éviter de donner de l’argent à des inconnus !
Billet inspiré de Official Google Twitter account hacked in Bitcoin scam, sur Sophos nakedsecurity.
Qu’en pensez-vous ? Laissez un commentaire.