Betterment, un service d'investissement traditionnel, a été victime d'une intrusion dans le système informatique de pirates informatiques spécialisés dans les cryptomonnaies. Des milliers d'utilisateurs ont reçu de fausses notifications et de faux courriels faisant la promotion de l'arnaque classic aux « cadeaux de cryptomonnaies ».
Des utilisateurs ont reçu de fausses alertes via l'application mobile Betterment. D'autres ont reçu des courriels faisant la promotion de cette arnaque au cadeau. Le faux message promettait de tripler les cryptomonnaies des utilisateurs. La « promotion » était valable trois heures.
Des pirates informatiques usurpent l'identité de Betterment
Le courriel indiquait aux utilisateurs qu'ils pouvaient déposer entre 1 $ et 750 000 $ en Bitcoin ou en Ether. La notification de l'application mobile précisait : « Par exemple, si vous envoyez 10 000 $ en Bitcoin ou Ethereum, nous vous renverrons immédiatement 30 000 $ à votre adresse Bitcoin ou Ethereum . »
Les pirates ont ajouté Bitcoin et Ether spécifiques. Au moment de la rédaction, le Bitcoin portefeuille reçu 0,14626084 BTC, soit 13 290,75 $. Le portefeuille Ether affiche un flux net de 1 779,30 $.
Deux heures après la faille de sécurité, l'équipe de Betterment a publié un avertissement sur X et Reddit. Sur Reddit, un représentant de Betterment a répondu à une discussion concernant le piratage : « Nous nous excusons pour la confusion. Il ne s'agit pas d'une véritable offre de Betterment… »
Sur X, le compte officiel de Betterment a expliqué qu'une personne non autorisée avait accédé à son système. Cela a permis à l'attaquant d'envoyer des courriels et des notifications push au nom de l'entreprise.
L'entreprise a précisé: « Cliquer sur la notification d'offre n'a pas compromis la sécurité de votre compte Betterment. » Betterment a rassuré ses utilisateurs en indiquant que « l'accès non autorisé a été supprimé » et qu'une enquête a été ouverte.
Dans un message ultérieur, Betterment a indiqué que la fausse promotion provenait d'un système tiers. L'entreprise a écrit: « Il s'agissait d'un message non autorisé envoyé via un système tiers que nous utilisons pour le marketing et d'autres communications avec nos clients. »
Après vérification, il s'est avéré que les courriels frauduleux provenaient de deux boîtes de réception appartenant à e[dot]betterment[dot]com. Ce domaine semble être un sous-domaine du site web principal de Betterment.
Un utilisateur de Reddit a déclaré: « J’ai reçu un courriel à ce sujet. Tout semble correct : les en-têtes sont valides, et les vérifications SPF, DKIM et DMARC ont toutes été réussies. » Cela signifie que le courriel a été authentifié cryptographiquement. Il ne s’agissait pas d’une adresse Gmail usurpée ni d’une fausse adresse d’expéditeur. Le domaine de Betterment a approuvé ce faux courriel.
On ignore si des données utilisateur ont fuité de la base de données de Betterment vers le dark web. De plus, l'outil tiers compromis n'a pasdent.
Cette faille de sécurité démontre que les pirates informatiques spécialisés dans les cryptomonnaies ne s'appuient plus sur de faux sites web ni sur des courriels non sollicités. Ils utilisent désormais des plateformes financières fiables comme moyen de transfert. Une fois les cryptomonnaies envoyées, l'argent est perdu. Aucun remboursement, aucune annulation, aucune récupération.
