Les fraudeurs se font passer pour l’agent de réclamation en faillite du prêteur de crypto-monnaie Celsius dans des attaques de phishing qui tentent de voler des fonds dans des portefeuilles de crypto-monnaie.
En juillet 2022, le prêteur de crypto Celsius a déposé son bilan et a gelé les retraits des comptes d’utilisateurs. Depuis, des clients ont déposé des réclamations contre l’entreprise, dans l’espoir de récupérer une partie des fonds.
Au cours des derniers jours, des personnes ont signalé avoir reçu des courriels de phishing prétendant provenir de Stretto, l’agent des réclamations pour la procédure de faillite de Celsius.
Un destinataire a partagé l’e-mail de phishing avec Breachtrace, qui prétend offrir aux créanciers une fenêtre de sortie de 7 jours pour réclamer leurs fonds gelés.
L’e-mail indique qu’ils proviennent de « Stretto Corporate Restructing », en utilisant l’adresse e-mail [email protected], comme indiqué ci-dessous.
L’e-mail de phishing comprend un lien vers le site Web case-stretto[.]com, qui redirige le destinataire vers le site de phishing claims-stretto[.]com ci-dessous. Le domaine claims-stretto[.]com a été enregistré aujourd’hui et est hébergé chez un fournisseur d’hébergement Web aux Seychelles.
Le site Stretto légitime pour les réclamations Celsius se trouve à l’adresse https://cases.stretto.com/celsius/claims/.
La page invite les visiteurs à saisir leur adresse e-mail pour retirer leur réclamation, et lorsque vous appuyez sur le bouton Soumettre, une invite WalletConnect s’ouvre pour connecter votre portefeuille de crypto-monnaie installé au site Web.
Si vous connectez un portefeuille, le site aura désormais accès à toutes les informations qui y sont stockées, y compris les adresses cryptographiques, les soldes, l’activité et la possibilité de suggérer des transactions.
Une fois cette connexion en place, les acteurs malveillants peuvent tenter de drainer tous les actifs et NFT stockés dans le portefeuille en déguisant la transaction en dépôt.
Réussit les contrôles SPF
Cette campagne de phishing se distingue par le fait que les e-mails passent les contrôles Sender Policy Framework (SPF), qui déterminent si un e-mail provient d’un serveur de messagerie valide pour le domaine d’envoi.
SPF effectue cette vérification en comparant l’adresse IP du serveur de messagerie qui envoie l’e-mail à une liste d’adresses IP trouvées dans l’enregistrement DNS SPF du domaine utilisé dans l’en-tête de courrier « Return-Path ».
Dans ce cas, le chemin de retour de l’e-mail de phishing est « [email protected] », avec em6462.stretto.com ayant un enregistrement SPF de v=spf1 ip4:149.72.171.199 -all. Cet enregistrement SPF signifie que tous les e-mails provenant du 149.72.171.199 doivent être considérés comme valides et non marqués comme spam.
Comme ces e-mails de phishing proviennent du 149.72.171.199, qui appartient à la société de marketing par e-mail SendGrid, ils réussissent le contrôle SPF et sont autorisés à être envoyés.
Ceci est illustré ci-dessous (certaines informations sont expurgées), où l’e-mail est envoyé avec succès à Gmail après avoir passé les contrôles SPF.
ARC-Authentication-Results: i=1; mx.google.com;
dkim=pass [email protected] header.s=s1 header.b=xx;
spf=pass (google.com: domain of [email protected] designates 149.72.171.199 as permitted sender) smtp.mailfrom="[email protected]";
dmarc=pass (p=QUARANTINE sp=QUARANTINE dis=NONE) header.from=stretto.comUn destinataire de l’un de ces e-mails de phishing a déclaré à Breachtrace qu’il n’avait pas de compte chez Celsius et qu’il n’avait jamais été déclaré créancier, ce qui rendait étrange qu’il reçoive cet e-mail.
Les acteurs malveillants utilisent probablement d’anciennes listes de contacts précédemment volées via des comptes marketing de crypto-monnaie piratés.
Breachtrace a contacté Stretto pour confirmer si son compte SendGrid a été compromis pour envoyer ces e-mails mais n’a pas reçu de réponse.
Si vous recevez un e-mail prétendant concerner les allégations de Celsius, veuillez l’ignorer et vérifier les nouvelles mises à jour sur l’affaire sur le site légitime https://cases.stretto.com/celsius/.
Malheureusement, si vous avez déjà visité l’un de ces sites de phishing et perdu des fonds ou des NFT après avoir connecté votre portefeuille, il n’y a probablement aucun moyen de récupérer vos actifs.
Celsius a déjà signalé des attaques de phishing similaires utilisées pour voler les fonds des créanciers.