Les cryptomonnaies se démocratisent petit à petit et attirent de plus en plus de personnes. Malheureusement, toutes ne sont pas bien intentionnées, et les scams (arnaques) de tous types se multiplient avec l'adoption grandissante. Ces escroqueries sont nombreuses, variées et parfois difficiles à détecter. Elles profitent bien entendu de la complexité du secteur, mais aussi de la naïveté, de l'inattention ou de la cupidité de certaines personnes.
Dans cet article, nous ferons un petit tour d'horizon les scams crypto les plus fréquents, en vous expliquant en quoi ils consistent, comment reconnaître les scams les plus fréquents et comment les éviter. Bonne lecture et attention à vous !
Temps de lecture estimé : 13 minutes
Les liens contenus dans cet article sont des liens affiliés. Le site est susceptible de percevoir une rémunération lorsqu'une action est effectuée à partir de ces liens. Merci pour votre soutien !
Les escrocs s'appliquent à copier minutieusement un site web réputé, en modifiant légèrement l'adresse de ce dernier. Leur objectif est qu'un utilisateur ne puisse pas le différencier de l'original.
Les voleurs essayent alors de vous amener à vous rendre sur leur faux site, grâce au phishing (voir paragraphe suivant), ou en les faisant en sorte qu'il s'affiche parmi les premiers résultats proposés par les moteurs de recherche.
Vous trouverez ci-dessous un exemple de scam en cours pour ceux qui cherchent l'agrégateur d'agrégateur de swap de Defillama sur DuckDuckGo.
Vous croyant sur le site original, vous l'utilisez en toute confiance. Les pirates peuvent alors récupérer toutes les données que vous entrez (identifiants, mot de passe, données personnelles, etc). Ils peuvent aussi détourner les transactions que vous initiez, comme c'est le cas pour l'exemple ci-dessus.
Difficile d'être tout le temps très attentif à l'orthographe des noms de domaine !
L'une des méthodes les plus simples pour éviter ce type d'arnaque consiste à d'enregistrer les sites que vous utilisez souvent dans vos favoris (quand vous êtes certains d'être sur le bon !). Vous n'aurez alors plus à utiliser de moteur de recherche pour y accéder. Consultez aussi le paragraphe qui suit pour lire comment éviter de vous faire avoir par le phishing.
Enfin, de nombreux de sites légitimes rappellent sur leur page d'accueil de bien vérifier l'adresse sur laquelle vous êtes. Si ce rappel est absent, cela peut vous mettre la puce à l'oreille et vous indiquer que vous vous trouver sur un faux site.
Le phishing est un type d'arnaque très répandu sur internet et n'est pas spécifique aux cryptomonnaies.
Avec cette technique dont le nom vient du verbe « to fish », qui signifie « pêcher » en anglais, les pirates « vont à la pêche » aux informations personnelles sensibles.
Ils vous contactent par email, SMS, téléphone, Twitter ou un autre réseau social en se faisant passer pour une entité de confiance. Ils tentent alors de vous dérober des informations ou des jetons.
Les emails ou les SMS qu'ils envoient peuvent aussi contenir des liens menant vers un faux site (voir paragraphe précédent), comme dans 'exemple ci-dessous. Ils peuvent aussi y joindre des fichiers malveillants.
Par ailleurs, le ton employé est souvent pressant. En vous faisant croire à un danger imminent ou à une opportunité en or, les pirates veulent vous faire agir dans la précipitation.
Ne paniquez pas et prenez votre temps. Vérifiez l'adresse email ou le numéro de téléphone de ceux qui vous contactent, ainsi que les adresses vers lesquelles pointent les liens qu'ils contiennent.
Concernant les réseaux sociaux, vérifiez l'ancienneté du compte, le nombre de followers, l'orthographe du nom, les posts précédents...
Certaines plateformes, comme Binance, proposent des outils de vérification, permettant de s'assurer que l'adresse qui vous a envoyé un message leur appartient réellement.
De plus, la plupart des exchanges permettent de renseigner un message anti-phishing dans les options de sécurité. En l'activant, le message personnalisé que vous aurez choisi apparaîtra dans toutes les communications que vous adressera la plateforme. Vous pourrez alors être certain qu'il ne s'agit pas d'un scam.
D'une manièere générale, aucun service sérieux ne vous contactera par téléphone pour vous demander des informations personnelles, telles que vos identifiants et mot de passe, ou la phrase de récupération de votre wallet.
Enfin, en cas de doute, vous pouvez toujours prendre contact avec le service client de l'entité qui est censée vous avoir adressé le message (en cherchant les liens pour les joindre hors du message !).
Vous êtes concerné par ce type d'arnaque seulement si vous possédez un portefeuile non custodial.
Les escrocs envoient sur votre adresse des jetons ou des NFT que vous n'avez jamais demandés. Ceux-ci peuvent être accompagnés d'un message vous incitant à vous rendre sur un site pour les échanger. L'objectif des pirates est que vous interagissiez avec ce qu'ils vous ont envoyé.
Lorsque vous signerez une transaction, vous autoriserez alors ces derniers à siphonner tout ou partie de votre wallet.
Ces arnaques suivent souvent l'actualité pour gagner en crédibilité. Par exemple, lorsqu'un vrai airdrop a lieu, il est courant que les escrocs envoient de faux tokens (portant le même nom que les vrais) à des milliers d'adresses.
Ici aussi, les escrocs tentent fréquemment de vous faire agir dans l'urgence, afin déjouer votre vigilance. À titre d'exemple, le hack de Multichain a poussé de nombreux utilisateurs à révoquer au plus vite les autorisations qu'ils avaient signées avec le protocole. Des pirates en ont profité pour envoyer de fausses autorisations, permettant de voler une partie des fonds du wallet les révoquant.
D'une manière générale, n'interagissez pas avec des tokens ou des NFT que vous ne connaissez pas et qui sont sur votre wallet. Ne vous précipitez pas, et prenez au moins le temps de suivre ces conseils.
Commencez par vous renseigner sur le projet qui vous a offerts des tokens. Quelques minutes suffisent souvent à se rendre compte qu'il s'agit d'une arnaque.
Si vous avez reçu un token qui porte le nom de celui d'un projet solide, vérifiez l'adresse du contrat du jeton que vous avez reçu, et comparer le avec celle disponible sur Coingecko ou CoinMarketcap. Si elles ne coïncident pas, c'est qu'il s'agit d'une arnaque.
Enfin, vous pouvez utiliser, des outils tels que DeBank ou TokenSniffer peuvent vous aider à démasquer les escrocs.
Cette technique consiste à vous faire télécharger et installer un programme malveillant sur votre ordinateur ou sur votre smartphone.
Une fois en place, celui-ci peut offrir des possibilités très variées au pirate qui en est à l'origine. Il pourra par exemple avoir accès à votre disque dur, à votre écran, à votre micro et/ou à votre caméra ou encore à tout ce que vous tapez au clavier.
Certains sont plus basiques. Par exemple, un malware très discret a déjà rapporté des centaines de milliers de dollars à un escroc, en détectant lorsqu'une adresse de portefeuille est copié par l'utilisateur, et en la remplaçant par l'adresse du portefeuille du voleur lorsqu'elle est collée. D'autres peuvent aussi extraire votre phrase de récupération... L'imagination des pirates n'a pas de limite !
Le sujet est vaste et mériterait sans doute un article dédié. Vous pouvez vous retrouver avec un virus ou un malware, en installant un programme que vous pensez légitime, en cliquant sur un lien malveillant (dans un message de phishing par exemple), un insérant une clé USB infectée. Concernant ce dernier vecteur d'attaque, il existe d'ailleurs de petites protection dédiées appelée "data blocker" pour recharger votre téléphone ou brancher une clé USB en tout sécurité.
Globalement, la mesure préventive de base est de garder tout vos appareils sensibles scrupuleusement à jour et d'installer les correctifs de sécurité sans attendre. L'installation d'un antivirus commercial sur vos appareils n'est plus spécialement recommandée, y compris sur Windows. Depuis quelques années en effet, les solutions installées par défaut sur les OS modernes - si tant est qu'ils soient à jour - font un très bon travail.
Si vous êtes une personne particulièrement à risque, vous devriez envisager de renforcer la sécurité de vos appareil ("hardenning") via l'application de mesures de sécurités additionnelles, la désactivation de certaines fonctionnalités et la déportation de vos activité a risques sur un appareil dédié.
En particulier, évitez d'utiliser les appareils avec lesquels vous gérez vos cryptos pour des opérations telles que le téléchargement de fichiers en P2P ou provenant de sources inconnues, le warez, l'hébergement de services exposés sur les web etc.
Vous pourriez également considérer l'utilisation d'appareils déjà renforcés (dans ce genre là) ou utilisant des versions renforcées de différents systèmes d'exploitation (comme GrapheneOS pour Android par exemple)
Pour le matériel informatique comme pour les les hardwares wallets (comme Ledger), n'achetez pas de matériel d'occasion. Fournissez-vous toujours sur le site officiel ou auprès d'un revendeur agréé (pas de Amazon ou Leboncoin...)
Enfin, lorsque vous téléchargez des extensions de navigateur ou des applications sur Google PlayStore ou AppleStore, vérifiez l'émetteur, le nombre d'utilisateurs, les autorisations que vous signez...
Dans ce type d'arnaque, vous ne perdrez pas vos tokens, mais ceux-ci perdront leur valeur, ce qui revient pratiquement au même.
Le scam consiste à mettre en avant un token dans lequel les escrocs ont investi. Ils essayent alors de convaincre un maximum de personnes d'acheter à leur tour ce jeton. Ceci peut se faire par le biais d'influenceurs sur les réseaux sociaux, sur des groupes Telegram ou Discord, des forums etc...
L'afflux de nouveaux acheteurs fait alors monter le prix du jeton (pump). Lorsque le cours est assez haut à leur goût, les escrocs revendent leurs jetons (dump) sur le dos des investisseurs qu'ils ont convaincus. Comme ils détiennent souvent un très grand nombre de tokens, leur vente fait chuter le cours de l'actif, et ceux qui se sont laissé convaincre se retrouvent avec des jetons qui valent moins que lorsqu'ils se les sont procurés.
Renseignez-vous sur le projet mis en avant. Ne vous contentez pas de l'avis d'un influenceur, même si l'aimez bien et que vous le suivez depuis longtemps.
Visitez le site officiel du projet, consultez le whitepaper, étudiez la tokenomics, etc, pour vous faire votre propre avis.
Évitez les groupes Discord ou Telegram qui vous promettent d'organiser des « pump and dump ». Les administrateurs investissement bien souvent avant les membres du groupe pour ensuite « dumper »sur eux.
Un schéma de Ponzi est un scam dans lequel les investisseurs existants sont payés avec l'argent des nouveaux arrivants. Le schéma est nommé d'après Charles Ponzi, un escroc italien qui a opéré aux États-Unis dans les années 1920.
Les escrocs promettent des rendements élevés ou des bénéfices rapides et faciles, mais en réalité, aucun gain réel n'est généré par l'entreprise.
Le schéma fonctionne tant que les escrocs peuvent trouver de nouveaux investisseurs pour payer les premiers arrivés. Lorsqu'ils n'y parviennent plus, le système s'effondre et les investisseurs découvrent que leur argent a été volé.
L'un des Ponzi les plus connus du monde des cryptomonnaies est Bitconnect.
Méfiez-vous des offres trop belles pour être vraies.
Tout comme pour le « pump and dump », cherchez par vous-même des informations détaillées sur l'investissement avant de vous engager (entreprise, équipe, tokenomics...).
Essayez aussi de comprendre d'où viennent les bénéfices qui vous seront reversés, afin d'évaluer si la situation est crédible.
Il existe bien sûr de nombreux autres types d'arnaques dans l'univers des cryptomonnaies. Certaines ne sont plus d'actualité (par exemple les ICO bidons), tandis que d'autres sortent chaque jour de l'imagination, malheureusement sans limite, des escrocs.
Il est donc impossible de toutes les répertorier. Pour vous en protéger, vous pouvez cependant retenir que, si les méthodes diffèrent, les faiblesses humaines que la majorité des scams crypto exploite pour restent souvent les mêmes :
Si vous arrivez à maîtriser vos émotions et avoir un minimum de connaissances (par exemple en consultant nos différents guides), vous serez déjà bien protéger.
Mais personne n'est jamais complètement à l'abri d'un scam crypto, et une faute d'inattention peut vite arriver, alors restez sur vos gardes !
Avec un côté volatil et des bases solides, c’est tout naturellement que je me suis intéressé au monde des cryptomonnaies en commençant par Bitcoin en 2014. CryptOptimiste, je pense que cet univers en pleine expansion n’en est qu’à ses débuts, et j’aime partager mes connaissances sur ce sujet d’avenir par le biais de mes écrits.
Dans la même catégorie
