Retour à l'accueil

Comment les escrocs volent des cryptomonnaies via Zoom et Google

Analyse d'un scam avancé où les attaquants utilisent l'ingénierie sociale et la manipulation du processus d'autorisation Google pour accéder aux comptes et voler des cryptomonnaies, même avec l'authentification à deux facteurs activée. L'article inclut une analyse technique du mécanisme d'attaque et des recommandations pratiques de protection pour les professionnels informatiques.

Scam de cryptomonnaie de nouvelle génération : comment vous pouvez être piégé lors d'un appel professionnel
Advertisement 728x90

Ingénierie sociale contre les investisseurs en cryptomonnaies : comment les escrocs utilisent Zoom et Google pour voler des fonds

Les escrocs spécialisés dans les cryptomonnaies perfectionnent continuellement leurs méthodes, passant de schémas simples à des attaques sophistiquées basées sur l'ingénierie sociale. L'une des techniques les plus dangereuses et complexes ne nécessite ni piratage ni vol de mot de passe — elle manipule directement l'utilisateur pour obtenir l'accès à ses comptes. Un incident réel impliquant un professionnel expérimenté illustre comment une combinaison d'un récit crédible et d'un timing précis mène à des pertes financières, même avec une authentification à deux facteurs (2FA) activée.

Mécanisme de l'attaque : du premier contact au vol

L'attaque commence non pas par une exploitation technique, mais par une manipulation psychologique. Les escrocs étudient méticuleusement leur cible — examinant ses activités professionnelles, ses contacts publics et ses éventuelles vulnérabilités. Dans ce cas, la cible a été identifiée dans un chat crypto où son profil indiquait une implication dans le marketing. Cela a permis la création d'une histoire plausible.

Étapes d'interaction :

Google AdInline article slot
  • Contact initial : Le scammeur se fait passer pour un assistant d'un directeur d'entreprise réelle, fournissant des détails vérifiables (nom de l'entreprise, site web avec historique, proximité géographique).
  • Construction de la confiance : Un échange professionnel prolongé a lieu, discutant des détails du projet, posant des questions, partageant des messages vocaux — tout cela imitant un processus standard de recrutement d'un prestataire.
  • Transition vers la 'réunion décisive' : Le scammeur propose un appel Zoom avec le 'directeur' pour finaliser les termes. Il insiste sur la ponctualité, créant une pression psychologique.

Le moment clé survient lorsque le lien Zoom est envoyé exactement à l'heure prévue. Il est légitime, mais la conférence est configurée pour exiger une authentification avant de rejoindre. Cela déclenche le mécanisme central de l'attaque.

Exécution technique : manipulation du processus d'authentification

Quand l'utilisateur tente de rejoindre la réunion, Zoom demande une authentification — par exemple via Google. À cet instant précis, le scammeur sur son appareil lance une connexion au compte Google de la cible en utilisant l'email connu.

Google détecte la tentative de connexion depuis un nouvel appareil et envoie une notification push au téléphone du propriétaire du compte, demandant une confirmation. L'utilisateur, s'attendant à rejoindre une réunion d'affaires critique et voyant une requête d'authentification Zoom, confirme naturellement — sans savoir qu'il accorde simultanément au scammeur l'accès à son compte Google.

Google AdInline article slot

Ce qui se produit après confirmation :

  • Le scammeur obtient un accès complet au compte Google de la cible.
  • Comme l'appareil de l'utilisateur est déjà considéré comme fiable, le scammeur peut également s'authentifier correctement sur Zoom et rejoindre la réunion.
  • Deux personnes — le véritable propriétaire et le scammeur — sont désormais présentes simultanément dans le compte, mais la victime reste inconsciente.

Pendant la réunion d'une heure, où les escrocs (se faisant passer pour l'assistant et le directeur) mènent des discussions commerciales détaillées et crédibles, un second scammeur utilise l'accès au compte Google pour voler des fonds.

Pourquoi l'authentification à deux facteurs (2FA) ne fonctionne pas

Dans ce cas, la cible avait activé le 2FA sur son échange de cryptomonnaies via Google Authenticator. Pourtant, cela n'a pas empêché les attaquants.

Google AdInline article slot

Vulnérabilité critique : Par défaut, Google Authenticator synchronise les clés secrètes (graines) via le compte Google de l'utilisateur. Quand le scammeur obtient l'accès au compte principal Google, il obtient automatiquement l'accès à ces clés 2FA synchronisées. En conséquence, toutes les jetons protégés par Authenticator deviennent vulnérables.

Google ne communique pas clairement ce risque aux utilisateurs moyens. Les paramètres de synchronisation sont souvent activés par défaut ou décrits dans la documentation sans souligner les menaces de sécurité associées.

Mesures de protection concrètes pour les spécialistes techniques

Pour les développeurs et professionnels informatiques travaillant avec les cryptomonnaies ou gérant des comptes critiques, des actions techniques spécifiques sont essentielles pour réduire le risque d'attaques de ce type.

Liste des paramètres et pratiques requis :

  • Désactiver la synchronisation dans Google Authenticator : Dans les paramètres de l'application, désactiver explicitement la fonction qui synchronise les clés via le compte Google. Cela empêche la compromission des clés si le compte principal est piraté.
  • Utiliser des solutions 2FA indépendantes matérielles ou logicielles : Considérer un passage à des solutions autonomes comme YubiKey ou des applications d'authentification qui ne synchronisent pas les données via des services cloud (par exemple, Authy avec la synchronisation désactivée ou Aegis).
  • Configurer des limites et délais sur les échanges : Sur les plateformes d'échange de cryptomonnaies, toujours activer :

* Les retraits uniquement vers des adresses pré-approuvées dans une 'liste blanche' (livre d'adresses).

* Une durée de délai (par exemple, 24 heures) pour le premier retrait vers toute nouvelle adresse ajoutée à la liste.

  • Vérification critique des notifications push : Ne jamais confirmer les demandes de connexion ou d'autorisation sans vérifier le contexte. Si vous ne vous attendez pas à vous connecter à un service spécifique en ce moment — ignorez ou rejetez la requête.
  • Séparation des comptes : N'utilisez pas une seule adresse e-mail principale (surtout une publique) pour vous connecter à tous les services critiques comme les échanges, la banque ou le stockage cloud. Créez des comptes distincts pour les opérations à haut risque.

Points clés tirés de cette affaire

  • L'ingénierie sociale est le vecteur principal. Les attaques les plus dangereuses d'aujourd'hui reposent sur la manipulation du comportement humain, pas sur l'exploitation de failles techniques.
  • La synchronisation du 2FA est une menace cachée. Utiliser Google Authenticator avec la synchronisation activée via le compte Google crée un point unique de compromission.
  • Le timing est un outil pour les escrocs. Une coordination habile des actions (envoi du lien, début de la réunion, déclenchement de la requête d'authentification) crée un contexte logique où l'utilisateur confirme involontairement l'accès.
  • La distraction fait partie du plan. Des interactions longues et crédibles (appels, messages) sont utilisées pour empêcher le propriétaire du compte de remarquer des activités parallèles dans ses services (alertes de connexion, modifications de paramètres).
  • Les informations publiques sont une source de ciblage. Les escrocs analysent les profils publics sur les réseaux professionnels et les chats pour identifier les cibles et construire des histoires personnalisées.

Cette attaque montre l'évolution des menaces : les escrocs investissent maintenant du temps à concevoir des scénarios complexes et multistages qui contournent les défenses techniques traditionnelles. La réponse doit aller au-delà de la configuration système — elle exige une vigilance accrue face à la manipulation psychologique et une réévaluation de l'architecture de sécurité personnelle des comptes, surtout pour ceux qui gèrent des actifs numériques.

— Editorial Team

Advertisement 728x90

Lire ensuite