CoinTN
Les attaques de phishing dans le domaine des cryptomonnaies sont de plus en plus endémiques, et chaque jour des personnes subissent de lourdes pertes pour avoir cliqué sur un faux lien ou cru à un message frauduleux. Protéger votre compte sur le site officiel de Binance nécessite une bonne compréhension des diverses méthodes de phishing. L'utilisation de l'application officielle de Binance est légèrement plus sûre que l'accès via un navigateur, car l'application n'est pas facilement trompée par les sites de phishing. Il est important pour les utilisateurs de téléphones Apple d'installer l'application authentique via le tutoriel d'installation iOS.
Qu'est-ce qu'une attaque de phishing ?
Une attaque de phishing (hameçonnage) est une méthode d'attaque d'ingénierie sociale. L'attaquant se fait passer pour une entité de confiance (comme le service officiel de Binance) pour vous inciter à lui remettre volontairement des informations sensibles telles que le mot de passe de votre compte, votre code de vérification, votre clé privée, etc.
Une attaque de phishing ne consiste pas à forcer directement le système de sécurité de votre compte, mais à exploiter les faiblesses psychologiques humaines pour obtenir des informations. Ainsi, même avec les mesures de sécurité techniques les plus strictes, si vous donnez vous-même votre mot de passe à un escroc, cela ne servira à rien.
Dans le domaine des cryptomonnaies, les pertes causées par les attaques de phishing sont particulièrement importantes, car les transferts de cryptomonnaies sont irrévocables. Une fois que l'argent a été transféré, il est pratiquement impossible de le récupérer.
Méthodes de phishing courantes
Faux sites Web
C'est la méthode de phishing la plus classique. L'attaquant crée un faux site Web presque identique au site officiel de Binance, et le nom de domaine peut ne différer que d'une ou deux lettres. Par exemple, changer "binance.com" en "binanace.com" ou "b1nance.com", ce que vous ne pourrez pas distinguer sans regarder attentivement.
Lorsque vous saisissez votre nom de compte et votre mot de passe sur le faux site, ces informations sont obtenues par l'attaquant. Ils utiliseront immédiatement ces informations pour se connecter à votre vrai compte et transférer vos actifs.
E-mails de phishing
Les attaquants envoient des e-mails de phishing qui ressemblent beaucoup aux e-mails officiels de Binance. Le contenu est généralement "votre compte présente un risque de sécurité", "vous avez une récompense à réclamer", "veuillez vérifier immédiatement votre identité", etc. Les liens dans l'e-mail pointent vers de faux sites Web.
Certains e-mails de phishing sont très soignés, avec le même logo, la même mise en page et le même nom d'expéditeur que les vrais.
Escroqueries sur les réseaux sociaux
Sur les plateformes sociales comme Telegram, Twitter, Discord, etc., des personnes se font passer pour le service client ou les administrateurs de Binance. Ils peuvent vous contacter de manière proactive, prétendre vous aider à résoudre un problème, puis vous demander de fournir le mot de passe de votre compte ou un code de vérification.
Il y a aussi des gens qui publient des liens vers des "airdrops Binance" dans des groupes, et si vous cliquez dessus, c'est un site de phishing.
Logiciels malveillants
Certaines attaques de phishing ne vous incitent pas directement à saisir votre mot de passe, mais volent des informations via des logiciels malveillants. Par exemple, un enregistreur de frappe (keylogger) enregistrera tout ce que vous tapez, et un logiciel de détournement de presse-papiers remplacera l'adresse de retrait que vous avez copiée par l'adresse de l'attaquant.
Fausses applications
Une "application Binance" téléchargée depuis une boutique d'applications non officielle peut être un logiciel malveillant contrefait. L'interface de ces fausses applications est identique à la vraie, mais les comptes et mots de passe que vous saisissez sont tous envoyés à l'attaquant.
Comment identifier les attaques de phishing
Vérifier l'URL
Assurez-vous de regarder attentivement l'URL dans la barre d'adresse de votre navigateur avant d'accéder à Binance. Le nom de domaine du véritable site officiel de Binance est "www.binance.com", faites attention aux lettres supplémentaires, aux substitutions de chiffres, aux fautes d'orthographe, etc.
Vérifiez si l'URL commence par "https://" (avec une icône de cadenas de sécurité). Bien que les sites de phishing puissent également avoir le https, un site sans https est définitivement faux.
L'approche la plus sûre consiste à enregistrer le signet du site officiel de Binance dans votre navigateur et à y accéder à chaque fois via le signet, plutôt qu'en cliquant sur des liens via les moteurs de recherche.
Vérifier le code anti-phishing
Si vous avez défini un code anti-phishing sur Binance, chaque véritable e-mail de Binance contiendra le code anti-phishing que vous avez défini. Après avoir reçu l'e-mail, vérifiez d'abord le code anti-phishing ; ceux qui n'en ont pas sont faux.
Méfiez-vous du ton d'urgence et d'intimidation
Les messages de phishing créent souvent un sentiment d'urgence : "votre compte sera gelé dans les 24 heures", "agissez immédiatement sinon vos actifs seront vidés". La véritable plateforme Binance utilise rarement ce ton intimidant. Face à ce genre de message, restez d'abord calme et ne vous précipitez pas pour cliquer sur le lien.
Ne faites pas confiance à ceux qui vous contactent proactivement
Le service client de Binance ne vous contactera pas de manière proactive via Telegram, WhatsApp, WeChat ou d'autres canaux. Quiconque vous contacte proactivement en prétendant être un employé de Binance est un escroc à 99 %.
Utiliser l'outil Binance Verify
Binance fournit un outil de vérification officiel appelé "Binance Verify". Vous pouvez y saisir l'adresse e-mail, le numéro de téléphone, l'URL du site Web, etc. que vous avez reçus, et le système vous dira s'ils proviennent bien du site officiel de Binance.
Mesures spécifiques pour prévenir les attaques de phishing
Configurer le code anti-phishing
Activez la fonction de code anti-phishing dans les paramètres de sécurité de Binance. Par la suite, chaque e-mail officiel contiendra votre code anti-phishing exclusif.
Utiliser les signets pour l'accès
Ajoutez l'adresse du site officiel de Binance aux signets de votre navigateur et accédez-y à chaque fois via le signet. Ne cliquez pas sur les liens depuis les résultats de recherche de Google, car les annonces de recherche pourraient être placées par des sites de phishing.
Ne télécharger l'application qu'à partir des canaux officiels
Téléchargez-la depuis le Google Play Store pour les téléphones Android et depuis l'App Store pour les téléphones Apple. Ne téléchargez pas l'application Binance à partir de sites Web tiers ou de boutiques non officielles. Avant le téléchargement, confirmez que le développeur est "Binance".
Activer toutes les vérifications de sécurité
Activez Google Authenticator, la vérification par SMS et la vérification par e-mail. Ainsi, même si votre mot de passe est divulgué, l'attaquant devra franchir plusieurs niveaux de vérification pour se connecter à votre compte.
Utiliser des clés de sécurité matérielles
Les clés de sécurité matérielles comme YubiKey peuvent fournir le plus haut niveau de protection de connexion. Elles ne seront pas trompées par les sites de phishing, car elles vérifient si le nom de domaine du site Web est correct.
Installer un logiciel antivirus
Installez un logiciel antivirus fiable sur votre ordinateur et votre téléphone, et effectuez régulièrement des analyses pour détecter les logiciels malveillants. Maintenez votre système d'exploitation et votre navigateur à jour avec les dernières versions.
Comment gérer la réception d'informations suspectes
Ne cliquez sur aucun lien. Si vous avez déjà cliqué, ne saisissez aucune information sur la page. Si vous avez déjà saisi votre mot de passe, connectez-vous immédiatement au vrai site officiel de Binance pour changer votre mot de passe. Si vous avez déjà saisi le code de vérification et que les actifs ont été transférés, contactez immédiatement le service client de Binance pour signaler la situation.
Si vous recevez un e-mail suspect, vous pouvez le transférer à l'adresse e-mail de signalement officielle de Binance. Si vous rencontrez un message frauduleux sur les réseaux sociaux, vous pouvez le signaler et bloquer l'expéditeur.
Habitudes quotidiennes pour améliorer la conscience de la sécurité
Ne communiquez jamais votre mot de passe à qui que ce soit, y compris à ceux qui prétendent être du service client de Binance. N'exposez pas le montant de vos avoirs en cryptomonnaies sur les réseaux sociaux. Ne rejoignez pas de groupes de cryptomonnaies d'origine inconnue. Ne croyez pas aux messages "cadeaux gratuits", "airdrops" qui semblent trop beaux pour être vrais. Vérifiez régulièrement les enregistrements de connexion et les paramètres de sécurité de votre compte.
En cas de situation dont vous n'êtes pas sûr, allez d'abord vérifier sur le site officiel de Binance ou l'application, et ne vérifiez pas via des canaux tiers. Il vaut mieux prendre une étape de confirmation supplémentaire que de risquer une opération dangereuse.
Que faire si vous avez déjà été victime de phishing ?
Si vous vous rendez compte que vous êtes déjà tombé dans le piège du phishing, traitez la situation en urgence en suivant ces étapes :
Première étape, modifiez immédiatement votre mot de passe Binance. Connectez-vous au véritable site officiel de Binance avec un appareil que vous jugez sûr pour changer le mot de passe.
Deuxième étape, vérifiez s'il y a des retraits ou des transactions anormaux. Si c'est le cas, contactez immédiatement le service client de Binance pour demander le gel du compte.
Troisième étape, réinitialisez toutes les vérifications de sécurité. Cela comprend la reconnexion de Google Authenticator, la modification du code anti-phishing, etc.
Quatrième étape, vérifiez si votre appareil est infecté par des logiciels malveillants. Utilisez un logiciel antivirus pour effectuer une analyse complète de votre ordinateur et de votre téléphone.
Cinquième étape, vérifiez les autres comptes associés. Si vous utilisez le même mot de passe sur Binance et d'autres plateformes, vous devez également changer les mots de passe de ces plateformes.
Foire Aux Questions (FAQ)
Binance m'appellera-t-il pour me demander mon mot de passe ?
Absolument pas. Le service client de Binance ne vous demandera en aucun cas de fournir des informations sensibles telles que votre mot de passe, un code de vérification ou une clé privée. Toute personne vous contactant pour cette raison est un escroc.
Est-il sûr de cliquer après avoir cherché "Binance" sur Google ?
Pas nécessairement sûr. Les espaces publicitaires en haut des résultats de recherche peuvent avoir été achetés par des sites de phishing. Il est recommandé de saisir directement "www.binance.com" dans la barre d'adresse ou d'utiliser un signet pour y accéder.
Que devrais-je définir comme code anti-phishing ?
Définissez une combinaison dont vous vous souviendrez facilement mais que les autres ne pourront pas deviner. Il peut s'agir d'une combinaison d'un mot spécial et de quelques chiffres. N'utilisez pas d'informations faciles à deviner comme votre anniversaire ou votre nom. Il est recommandé de le changer tous les quelques mois.
Le "groupe officiel Binance" sur Telegram est-il réel ?
Vous devez faire preuve de prudence. Binance possède en effet des groupes et des canaux Telegram officiels, mais il existe également de nombreux faux. Les véritables canaux officiels peuvent être rejoints via les liens publiés sur le site officiel de Binance. Le "service client" qui vous contacte de manière proactive en privé dans le groupe est presque toujours composé d'escrocs.
Que faire si mon mot de passe a fuité mais que mes actifs n'ont pas encore été transférés ?
Modifiez immédiatement votre mot de passe, activez ou réinitialisez toutes les mesures de vérification de sécurité, activez la liste blanche de retrait (si ce n'est pas déjà fait), vérifiez et supprimez les appareils de connexion non reconnus, et envisagez de transférer temporairement vos actifs vers un portefeuille sécurisé.