Crypto-arnaque : fausse vente de matériel de minage

L’augmentation de la valeur de la cryptomonnaie a fait que le matériel de minage est de plus en plus demandé, mais les stocks sont bas à cause des restrictions liées à la COVID. Par conséquent, le monde fait face à une nouvelle pénurie de cartes vidéo puissantes et de matériel de cryptominage, avec une attente de plusieurs mois pour de nouvelles livraisons. Les cybercriminels, comme à leur habitude, cherchent à tirer profit de cette crise.

À titre d’exemple, les escrocs ont soutiré des cryptomonnaies aux acheteurs via un service de Google connu et un clone d’un site Web qui vend du matériel de minage.

Comment fonctionne l’arnaque

Les escrocs et les spammeurs se reposent depuis longtemps sur les services qu’offre Google (Forms, Sheet, Calendrier, Photos et autres) pour leur capacité à envoyer automatiquement des notifications aux personnes mentionnées dans le fichier (ou une entrée de calendrier) ou y aillant accès. Ces e-mails ne sont pas envoyés par l’auteur du fichier, mais par Google lui-même, et c’est pourquoi les filtres anti-spam les laissent passer.

Dans ce cas-là, les mineurs de cryptomonnaies reçoivent un e-mail les notifiant qu’ils ont été mentionnés dans un fichier Google Docs par un utilisateur dont l’identifiant est BitmainTech (le nom d’un vrai fabriquant de plateformes minières). Le nom qui inspire confiance @docs[.]google[.]com dans le champ de l’expéditeur fait que les destinataires baissent la garde. L’expéditeur peut choisir n’importe quel nom d’utilisateur d’autant que la vraie adresse mail reste cachée.

L’e-mail affiche : « BitmainTech vous a mentionné dans un fichier »

L’appât ressemble à une annonce pour acheter une machine de minage Antminer S19j. Se faisant passer pour le département des ventes de Bitmain, les escrocs affirment que le matériel est disponible, mais pas pour longtemps car le stock est limité et que la livraison répond au principe du premier arrivé, premier servi. Le texte présente des faits et des chiffres inspirant la confiance.

Une fausse équipe de vente de Bitmain utilise Google Docs pour notifier les victimes de la disponibilité d’Antminer S19j

Le même texte apparaît dans le fichier Google Docs avec un seul lien actif qui redirige, via une chaîne de redirection, vers bitmain[.]sa[.]com, une copie identique du site Web officiel bitmain[.]com (on peut voir que les adresses sont différentes). Une recherche WHOIS révèle que le domaine du faux site a été créé en mars 2021.

Pour être plus crédibles, les cybercriminels utilisent le protocole HTTPS. Les lecteurs de ce blog savent déjà que HTTPS empêche les données d’être interceptées, comme elles passent de l’utilisateur au site, mais ne garantit pas que le site soit légitime. Si ce dernier est malveillant, utiliser un protocole sécurisé signifie seulement que les données voyagent en toute sécurité vers les cybercriminels.

Faux site Internet Bitmain avec une annonce pour Antminer S19j

Sur le vrai site Internet de Bitmain, à la date de la publication de cet article, le bouton Acheter était inactif car le dernier Antminer S19j n’était plus disponible, et le site ne prévoit pas de nouvelles livraisons avant octobre. Mais sur le faux site, la machine de minage tant convoitée se glisse avec facilité dans le panier et pour un prix identique à l’original, qui est de 5 017 dollars (environ 4 170 euros).

Le faux site vous laisse ajouter la machine au panier

Pour procéder au paiement, la victime doit soit s’enregistrer, soit se connecter. Il y a deux raisons possibles à cela : pour une plus grande authenticité ou bien pour construire une base de données contenant des adresses et des mots de passe pour le piratage de comptes. Même si nous nous sommes inscrits (en utilisant une fausse adresse mail bien entendu), nous n’avons jamais reçu de confirmation d’inscription.

Fausse page de connexion Bitmain

Dans n’importe quel cas, le site permet à l’utilisateur de se connecter et de finaliser la commande. La procédure de connexion est plutôt convaincante.

L’Antminer S19j est dans le panier ! L’est-il vraiment ?

À la prochaine étape, la victime doit indiquer l’adresse de livraison. Peut-être que les escrocs collectent aussi ces données pour les revendre.

Message disant que le fabricant ne prend pas en charge l’expédition en Chine si la commande est faite à partir d’un site en anglais

La plupart des fabricants de plateformes de cryptominage, dont Bitmain, sont en Chine. Les frais d’expédition de matériel lourd et coûteux depuis ce pays sont importants, et pourtant les cybercriminels ne facturent qu’environ 5 dollars et ce peu importe la destination et le transporteur (UPS, DHL ou FedEx).

Choisir un transporteur. Le coût d’envoi est de 5,45 dollars, peu importe la destination

Ensuite, la victime doit choisir une méthode de paiement. Payer par cryptomonnaie est obligatoire, mais ils peuvent choisir laquelle : BTC, BCH, ETH ou LTC.

Sélectionner une méthode de paiement : Bitcoin, Ethereum, Bitcoin Cash ou Litecoin

La dernière étape, et également la plus importante, consiste à payer. Les cybercriminels fournissent les détails d’un portefeuille de cryptomonnaies et annoncent que la transaction doit se faire dans les deux heures qui suivent, autrement la commande sera annulée. Notez que le coût d’envoi, aussi petit qu’il soit, n’apparaît pas sur la facture.

Le prix total n’inclus pas les frais de livraison

Une fois que la victime a cédé une quantité considérable de cryptomonnaie, le semblant de légitimité se dissout. Le compte de l’utilisateur ne contient aucune donnée de commande et les boutons sont inactifs.

Fin tragique

Comment éviter les arnaques

Afin de ne pas se faire avoir, soyez vigilant pour ne pas tomber dans le battage médiatique.

• Soyez prudent et prêtez une attention particulière dans le cas où on vous presse pour réaliser un paiement. Dans ce cas-là, le fait qu’un produit rare soit en vente revient à recevoir un message comme quoi vous avez gagné au loto (ce qui est doublement suspicieux si vous n’avez même pas acheté de ticket de loterie).
• Vérifiez le site Web officiel. Si vous recevez une offre de la part d’une marque connue, rendez-vous sur son site officiel pour trouver des informations sur la promotion. Analysez toujours la barre d’adresse car l’usurpation d’URL est une technique courante d’hameçonnage.
• Utilisez un produit de dernière génération qui possède une protection contre l’hameçonnage et les escroqueries en ligne pour assurer votre sécurité, tel que Kaspersky Internet Security.