Le X d’Elon Musk pour déployer un kill switch contre les arnaques en verrouillant automatiquement les premiers à mentionner la cryptomonnaie

La plateforme de médias sociaux X prépare une nouvelle mesure de sécurité visant à mettre fin à une forme répandue d’hameçonnage en crypto qui s’appuie sur des comptes piratés pour promouvoir des tokens frauduleux.

La société va bientôt verrouiller automatiquement tout compte qui mentionne la crypto-monnaie pour la première fois de son historique, selon le directeur produit Nikita Bier. Les utilisateurs devront passer par une vérification supplémentaire avant d’être autorisés à publier à nouveau.

Bier a déclaré que la fonctionnalité vise l’incitation centrale à l’origine de ces attaques. « Cela devrait supprimer 99% de l’incitation », a-t-il écrit, en référence à la vague actuelle d’hameçonnage qui pousse les utilisateurs à renoncer à leurs identifiants, puis utilise leurs comptes pour faire la promotion d’arnaques crypto.

Le changement a été dévoilé en réponse à un récit détaillé de première main d’un utilisateur de X qui a perdu le contrôle de son compte après avoir été victime d’un e-mail d’hameçonnage déguisé en avis de violation de droits d’auteur.

L’attaquant, a déclaré l’utilisateur, a utilisé une page de connexion factice parfaitement identique pour récupérer des codes à deux facteurs, puis a verrouillé l’utilisateur hors de son compte et a commencé à promouvoir des projets crypto frauduleux depuis son compte.

Arnaques crypto sur X

Ces types d’attaques ont été extrêmement fréquents sur X, un héritage d’avant sa cession à Elon Musk et qui s’appelait encore Twitter.

Une des tactiques les plus courantes est l’arnaque « doublez votre argent », dans laquelle il est demandé aux utilisateurs d’envoyer de la crypto-monnaie en échange de la promesse d’en recevoir davantage. D’autres poussent de faux memecoins ou des largages frauduleux, souvent en utilisant des comptes piratés pour leur donner une crédibilité.

L’usurpation d’identité fait partie des outils les plus puissants. Des comptes usurpant de grandes personnalités ont à maintes reprises trompé des abonnés en les faisant cliquer sur des liens malveillants qui imitent des plateformes crypto légitimes.

Les transactions en crypto-monnaie sont irréversibles, donc une fois qu’un utilisateur tombe dans le piège de ce type d’attaque, ses fonds sont perdus.

L’exemple le plus infâme est survenu en 2020, lorsque des pirates ont accédé aux systèmes internes de Twitter et pris le contrôle de comptes majeurs, y compris ceux d’Apple, de Barack Obama et d’Elon Musk.

Ils ont utilisé ces comptes pour promouvoir un faux tirage au sort de bitcoin, empochant plus de 100 000 $ avant que les publications ne soient supprimées. Cette intrusion, menée par ingénierie sociale contre des employés de Twitter, a abouti à une peine de 5 ans pour le pirate.

X a fait plusieurs tentatives pour renforcer la sécurité. Cela a notamment inclus des purges de bots, des restrictions d’API et une détection du comportement. Le dernier changement, qui consiste à verrouiller automatiquement les comptes qui publient au sujet de la crypto pour la première fois, s’appuie sur ces efforts, avec pour objectif de couper la tactique à sa racine : en rendant les comptes piratés inutiles pour les arnaques.

Bier a également accusé Google de ne pas réussir à empêcher les e-mails d’hameçonnage au niveau du courrier électronique, pointant du doigt la part de responsabilité du géant de la tech dans l’échec à protéger ses utilisateurs contre les attaques d’hameçonnage.