Pratiques frauduleuses et cryptomonnaies

Selon une étude de « Crypto Head »*, le nombre d’escroqueries en lien avec des cryptomonnaies augmente de 41 % chaque année. On estime à 18 millions de dollars par jour, les sommes que ces criminels ont dérobées en 2021 via des fraudes en lien avec les cryptomonnaies. Nous allons examiner les principales pratiques d’une légalité douteuse actuellement utilisées dans l’univers des cryptomonnaies.

Pratiques suspectes avec les cryptomonnaies.

Les investisseurs en cryptomonnaies sont une majorité à ne pas connaître les risques sécuritaires inhérents aux plateformes d’échange ou aux wallets (portefeuilles) en ligne, ce qui fait d’eux des proies faciles pour les cybercriminels recourant au phishing (hameçonnage), aux logiciels malveillants, aux escroqueries pyramidales, etc.

Le phishing (hameçonnage).

Cette pratique très répandue dans le domaine bancaire est également utilisée sur de nombreux sites d’échange pour duper la victime et lui subtiliser ses données confidentielles. Avec elles, le cybercriminel peut accéder aux comptes et wallets de la victime pour en soustraire des fonds. Il existe plusieurs pratiques différentes :

• Sites en ligne clonés : les cybercriminels créent un site Web identique à l’original. Ce site imite le plus couramment un Exchange, un wallet en ligne ou le site Web officiel d’une ICO (Initial Coin Offering). Ils en font publicité dans les médias et les réseaux sociaux en joignant un e-mail, des tchats et des annonces dans Google en empruntant l’identité du site Web authentique. Ils incluent aussi un lien frauduleux où l’escroc va obtenir facilement les coordonnées d’accès de ses victimes. En plus de cloner des sites, ils lancent également de fausses applications qui imitent l’application originale.
• Faux support :ici, les fraudeurs trompent leurs victimes en se faisant passer pour l’équipe de support d’un site légitime et ils envoient aux clients des mails avec le logo de l’entreprise originale pour leur annoncer un incident quelconque. Ils leur demandent ensuite leurs données privées dans le but apparent de les aider ; en réalité, ils leur subtilisent ces informations. Il est important de savoir qu’aucune plateforme ne va demander à ses clients d’indiquer ses coordonnées d’accès, la raison étant, entre autres, qu’elle les possède déjà.

Pump and Dump (gonfler et larguer).

Il s’agit de l’une des escroqueries les plus pratiquées dans le monde cyber ; elle consiste à gonfler le prix d’une cryptomonnaie via des informations frauduleuses ou fausses diffusées dans les communautés en ligne, les forums et sur les réseaux sociaux. Les escrocs incitent l’investisseur à acheter et conserver une cryptomonnaie car, lui disent-ils, il va gagner beaucoup d’argent en peu de temps. Et lorsque le cours de la cryptomonnaie atteint son sommet, ils empochent les bénéfices et le prix commence à descendre. Les investisseurs tentent certes de vendre rapidement pour réduire au minimum les pertes, mais le cours de l’actif dégringole à une vitesse telle qu’il leur occasionne de très lourdes pertes.

Un exemple de cette pratique s’est produit en 2020 lorsqu’ont surgi différents faux tweets en faveur d’une cryptomonnaie, qui semblaient venir d’Elon Musk et qui l’ont propulsée en quelques heures vers des sommets. Cette technique a continué d’être utilisée en 2021, mais cette fois via des communiqués de presse affirmant que certaines personnes importantes acceptaient les cryptomonnaies alternatives. Dans un premier temps, ces dernières ont vu leurs cours grimper instantanément, puis chuter fortement dès que les entreprises impliquées ont démenti ces informations. Mais dans ce laps de temps, les escrocs avaient encaissé des bénéfices juteux.

Projets inexistants.

Certains projets de nouvelles cryptomonnaies publiés sur les réseaux ou les canaux de Telegram n’existent pas en réalité, ou ils ont été montés de toutes pièces uniquement pour gagner rapidement un maximum d’argent et disparaître ensuite. Il est important de rechercher le plus d’information possible sur le projet, de comparer les avis et d’essayer de vérifier la véracité de tout ce que l’on lit à son sujet. Si le doute persiste, le mieux est de ne pas investir.

L’une des pires escroqueries du genre s’est produite en novembre 2021. Dans le sillage du succès de la série Netflix « Squid game », un token basé sur la série était apparu sur le marché et avait vu son prix monter en flèche jusqu’à frôler les 3 000 dollars. Des médias aussi importants que Forbes, CNBC ou Business Insider avaient publié des brèves sur la montée amorcée du cours de ce token et des milliers d’investisseurs avaient décidé de l’acheter.

Le problème avait surgi quand ils avaient réalisé qu’il n’était pas possible de le revendre. Les escrocs, qui de surcroît n’étaient nullement autorisés à utiliser le nom de la série comme token, avaient incorporé un mécanisme anti-revente dans la cryptomonnaie et l’argent des investisseurs avait atterri d’autres comptes. Les pertes ont été estimées à environ 3,38 millions de dollars.

Escroqueries au lancement d’ICO.

Quand une nouvelle cryptomonnaie sort sur le marché, une offre initiale de monnaies est d’habitude faite, également appelée ICO (Initial Coin Offering). Il s’agit d’un système de financement permettant à une entreprise de récupérer des fonds en cryptomonnaies hautement convertibles en liquide, comme le Bitcoin et Ethereum, via une vente massive de la nouvelle cryptomonnaie qui va être lancée. Parfois, ce sont des start-up qui émettent des ICO, ce qui peut entraîner des doutes quant à la réalité de l’offre. D’où l’importance de vérifier le dossier technique de l’entreprise et de bien s’informer avant d’acheter, étant donné le nombre élevé d’escroqueries de ce genre commises ces dernières années.

Disparition avec les fonds (Exit scams).

Cette pratique consiste pour une plateforme à inspirer confiance aux investisseurs et à fonctionner correctement un certain temps, jusqu’à ce que les responsables ne permettent plus les retraits et s’évaporent ensuite avec les fonds de leurs clients. Quelques-unes des sept pires escroqueries au Bitcoin jamais commises l’ont été avec cette méthode. Les plateformes ne sont pas toujours créées pour escroquer; la fraude a parfois lieu en raison de problèmes commerciaux que les responsables ne peuvent ou ne veulent pas résoudre ; ils choisissent alors l’issue la plus facile : disparaître avec l’argent.

Une telle fuite avec des fonds s’est produite en avril 2021 par exemple, lorsqu’une entreprise réputée, dédiée à l’investissement dans le Bitcoin en Afrique du Sud, avait annoncé que ses systèmes avaient été piratés. Son histoire avait toutefois été passée au crible et elle s’était vu accuser d’avoir soustrait approximativement 3,6 milliards de dollars à ses utilisateurs. Les soupçons étaient retombés sur les deux frères fondateurs de l’entreprise, lorsqu’ils avaient dit à leurs investisseurs qu’ils n’entreprendraient pas d’actions en justice pour récupérer les fonds.

Recommandations relatives aux cryptomonnaies dans le guide GAFI.

Fin octobre 2021, le GAFI (Groupe d’Action Financière) a publié une version révisée de son guide de recommandations visant la réglementation des cryptoactifs, ce qui a provoqué un véritable séisme dans ce secteur.

Depuis 2019, il actualise son guide d’action pour la réglementation des cryptomonnaies et l’Union européenne suit ses informations au pied de la lettre bien que le GAFI ne détienne en réalité aucune attribution lui permettant d’appliquer de quelconques mesures. Cette nouvelle mise à jour cherche à rapprocher chaque fois un peu plus l’univers crypto du monde financier traditionnel.

Dans un document de 110 pages, le GAFI suggère comment les gouvernements devraient considérer les différents acteurs du secteur des cryptomonnaies, et il fait figurer certains changements importants : il aborde par exemple la gestion des DeFi (Finances décentralisées), l’utilisation des NFT (Non Fungible Tokens), le rapprochement des plateformes d’échanges des entités financières traditionnelles ou les échanges de devises « de pair à pair » sans intermédiaires.

Recommandations du GAFI relativement aux DeFi.

Le nouveau guide inclut deux nouveaux termes relatifs aux protocoles décentralisés, à savoir « l’implication active » et « l’influence suffisante » pour détecter des points de contrôle et appliquer les normes les gouvernant. Bien que selon les normes GAFI, les DeFi ne soient pas des VASP (Virtual Asset Service Providers), elles recommandent d’appliquer les mêmes normes.

Le nouveau guide GAFI veut inclure les VASP dans l’écosystème DeFi en se basant sur les revenus de ses participants. En d’autres termes : si une entreprise obtient des tarifs de transaction ou des revenus directement d’un protocole, il est très probable qu’elle soit classifiée comme VASP.

Recommandations du GAFI en matière de NFT.

Les NFT n’entrent pas dans la définition GAFI des actifs virtuels bien qu’ils soient couverts par les normes GAFI visant ce type d’actifs financiers. Selon le nouveau guide, les pays doivent appliquer les normes GAFI aux NFT et à d’autres actifs similaires sur la base de chaque cas.

La dernière modification apportée au GAFI demande aussi aux pays de faire plus d’efforts pour mettre en œuvre la « Règle de voyage », introduite en 2019, visant le blanchiment de capitaux et le financement du terrorisme, et d’assurer que les VASP disposent de mesures alternatives pour réduire les risques de blanchiment associés aux transferts de cryptomonnaies.

Cependant, selon une enquête récemment réalisée par « Notabene », 60 % des « Exchange » n’ont pas encore mis en application cette « Règle de voyage » suggérée par le GAFI, bien que les entreprises aient affirmé essayer de se conformer à la norme dans les six mois à venir.

Solutions technologiques pour la gestion de la fraude.

Les cybercriminels ont trouvé dans les cryptomonnaies une méthode commode pour blanchir de grandes quantités de capitaux puisqu’elles leur apportent l’anonymat et la sécurité propices à leurs opérations en marge des organismes financiers et des gouvernements. Leur pratique habituelle consiste à s’introduire sur les plateformes d’échange de cryptos pour tenter de subtiliser les portefeuilles virtuels des clients de ces plateformes en utilisant une technologie capable de générer de faux comptes et de traiter des paiements frauduleux.

Les techniques utilisées sont des plus variées : accéder aux plateformes à l’aide de coordonnées d’accès volées ou employer des comptes frauduleux nouvellement créés. Pour dérober des cryptomonnaies, les cybercriminels emploient des logiciels malveillants toujours plus intelligents, combinés à un phishing très sophistiqué, ce qui les rend en mesure d’utiliser des coordonnées d’accès volées pour créer de nouveaux comptes ou pirater les comptes des utilisateurs déjà enregistrés.

Autant les Exchange que les portefeuilles virtuels ont besoin d’outils technologiques leur permettant de vérifier si leurs clients utilisent des comptes authentiques ou faux, de vérifier les pratiques suspectes et de prédire des schémas de comportement à haut risque.

Les solutions proposées par LexisNexis Risk® Solutions aux entreprises ayant affaire aux cryptomonnaies intègrent la prévention et la détection de la fraude numérique ainsi que la vérification et l’authentification de l’identité des utilisateurs. Emilio Rocchi, Consultant senior en solutions, recommande à toutes les entreprises utilisant des cryptomonnaies une technologie versatile comme LexisNexis® ThreatMetrix®.

Cet outil offre des solutions en temps quasi-réel pendant la prise de décisions quant à l’authentification et la fraude, ce qui permet aux Exchange et aux fournisseurs de portefeuilles numériques de réduire au minimum les pertes et d’authentifier les utilisateurs de confiance avec une plus grande précision.

Comme nous le voyons, toute entreprise opérant dans l’univers crypto est exposée aux agissements des cybercriminels, mais elle dispose aussi d’une vaste panoplie de solutions pour contrer leurs attaques. Emilio Rocchi nous rappelle que LexisNexis Risk® Solutions assure actuellement, chaque année, plus de 18 millions de transactions en cryptomonnaies et dispose toujours de la solution parfaite pour chaque entreprise. Et si nous en discutions ?

* Étude des escroqueries commises avec les cryptomonnaies : https://cryptohead.com/crypto-breaches-and-fraud/