Les escrocs de crypto-monnaie abusent d’une « fonctionnalité » légitime de Twitter pour promouvoir des escroqueries, de faux cadeaux et des canaux de télégrammes frauduleux utilisés pour voler votre crypto et vos NFT.
Sur X, anciennement et plus largement connu sous le nom de Twitter, l’URL d’une publication se compose du nom de compte de la personne qui l’a tweeté et d’un identifiant de statut, comme indiqué ci-dessous.
https://twitter.com/[account_name]/status/[status_id]
Le site Web utilise l’identifiant d’état pour déterminer quel message doit être chargé à partir de la base de données du site, sans se soucier de vérifier si le nom du compte est valide.
Cela vous permet de prendre une URL pour un Tweet et de modifier le nom du compte comme vous le souhaitez, même pour les comptes de haut niveau. Lorsque vous visitez l’URL, le site Web vous redirige simplement vers l’URL correcte associée à l’identifiant.
Par exemple, https://twitter.com/BleepinComputer/status/1736650221243826564 cela ressemble à un message légitime de notre compte @bleepincomputer X. Cependant, en cliquant dessus, vous accédez à un message d’Elon Musk, car l’identifiant est associé à l’un de ses tweets.
Breachtrace avait déjà signalé cette fonctionnalité en 2019, lorsque le chercheur en sécurité Davy Wybiral avait exprimé des inquiétudes quant au fait que la fonctionnalité pourrait être utilisée pour le phishing. Cependant, à cette époque, il n’était pas utilisé de manière abusive dans les attaques de phishing.
Escroqueries cryptographiques abusant de la « fonctionnalité »
Le chercheur en sécurité MalwareHunterTeam a déclaré à Breachtrace que les escrocs ont commencé à utiliser ce mécanisme de redirection au cours des deux dernières semaines, sinon plus, pour créer des URL qui semblent appartenir à des organisations légitimes et bien connues.
Toutes les organisations usurpées vues par Breachtrace sont des comptes liés à la cryptographie, tels que Binance (11 millions d’abonnés), la Fondation Ethereum (3 millions), zkSync (1,3 million) et Chainlink (1 million).
Alors que ce qui précède ressemble à des tweets de Binance, Ethereum et zkSync, ils ont plutôt redirigé vers les tweets d’un utilisateur X non lié faisant la promotion d’escroqueries cryptographiques. Breachtrace a observé des tweets faisant la promotion de faux cadeaux cryptographiques, des sites Web qui utilisent des égouttoirs de portefeuille et des canaux Discord faisant la promotion de pompes et de décharges.
Le faux tweet de zkSync a conduit à une page usurpant l’identité de l’entreprise et faisant la promotion d’un site Web qui, selon la communauté X, est un drain crypto, ce qui signifie que lorsque vous connectez votre portefeuille, il vole automatiquement tous les actifs cryptographiques et les NFT.
Presque tous les comptes vus par Breachtrace abusant de cette fonctionnalité pour promouvoir des publications frauduleuses cryptographiques utilisent un nom de compte au format nom + 5 chiffres, tel que @amanda_car16095.
Il est possible de filtrer certains de ces tweets en activant le filtre de qualité sous Paramètres > Notifications > Filtres. Cependant, vous courez le risque que les tweets que vous souhaitez voir filtrés de manière incorrecte.
La plupart des utilisateurs devraient immédiatement pouvoir repérer un tweet frauduleux en voyant que le compte est différent de ce qui était dans l’URL. Cependant, certains, comme l’URL zkSync, peuvent être manqués car l’escroc a créé un compte avec l’entreprise dans son nom d’utilisateur.
De plus, l’ouverture de ces liens sur mobile peut être un peu plus déroutante, car l’application n’affiche pas de barre d’adresse et vous voyez simplement le message. Pour beaucoup, il pourrait être perçu qu’une entreprise comme Binance en faisait la promotion, la faisant paraître plus légitime.
Comme cette redirection est une fonctionnalité standard de Twitter, nous ne la verrons probablement pas modifiée pour la rendre plus sécurisée. Cela signifie que si vous cliquez sur un lien X, vous devez jeter un coup d’œil rapide à votre barre d’adresse (si disponible) pour vous assurer que vous visitez le tweet de cette personne et que vous n’avez pas été redirigé.