CryptoBase — Tutoriel d'inscription et d'utilisation de Binance
ZH EN ES FR JA KO TW
Sécurité des portefeuilles

Comment identifier les sites de phishing – Guide pratique anti-phishing pour les cryptomonnaies

· 16 min de lecture
Explication complète des types courants de sites de phishing dans le domaine des cryptomonnaies et des méthodes pour les identifier, afin d'éviter les pertes d'actifs dues aux faux liens.

Les sites de phishing sont l'une des formes d'attaque les plus répandues et causant les pertes les plus importantes dans le domaine des cryptomonnaies. Les pirates créent des sites web quasi identiques aux projets réels pour inciter les utilisateurs à connecter leur portefeuille, saisir leur phrase de récupération ou signer des transactions malveillantes. Selon SlowMist, les pertes dues aux seules attaques de phishing en 2025 ont dépassé le milliard de dollars. Apprendre à identifier les sites de phishing est une compétence indispensable pour tout utilisateur de cryptomonnaies.

Quels sont les types courants de sites de phishing ?

Image associée

Les sites de phishing dans le domaine crypto se divisent principalement en catégories suivantes :

1. Sites d'exchanges contrefaits Imitent les pages de connexion de Binance, OKX et autres exchanges pour voler vos identifiants et codes 2FA.

2. Sites de portefeuilles contrefaits Imitent les sites officiels de MetaMask, Trust Wallet et autres portefeuilles, vous incitant à télécharger de fausses apps ou à saisir votre phrase de récupération sur le web.

3. Faux frontends de DApps Imitent des DApps connues comme Uniswap ou OpenSea. Lorsque vous connectez votre portefeuille et confirmez une transaction, vous signez en réalité une autorisation malveillante.

4. Fausses pages de réclamation d'airdrops Prétendent que vous avez des tokens d'airdrop non réclamés, vous guidant à connecter votre portefeuille et signer pour les « réclamer », alors qu'en réalité vous autorisez un contrat malveillant à transférer vos actifs.

5. Fausses pages de support technique Se font passer pour des pages de support de portefeuilles ou d'exchanges, vous demandant de « vérifier votre portefeuille » en saisissant votre phrase de récupération.

Comment identifier le domaine d'un site de phishing ?

Le domaine est la méthode la plus efficace pour identifier les sites de phishing. Les pirates emploient les techniques suivantes pour falsifier les domaines :

Substitution de lettres : utiliser des lettres visuellement similaires, comme « rn » au lieu de « m » (rnetamask.io ressemble à metamask.io), ou le chiffre « 0 » au lieu de la lettre « o ».

Ajout de préfixes ou suffixes : comme metamask-wallet.io, metamask-app.com, login-binance.com, etc.

Domaines de premier niveau différents : utiliser .xyz, .net, .co, etc. au lieu du .io ou .com officiel.

Attaques Punycode : utiliser des caractères Unicode pour créer des domaines visuellement identiques, comme remplacer la lettre latine « a » par la lettre cyrillique « а ».

Liste de référence des domaines officiels :

  • MetaMask : metamask.io
  • Uniswap : app.uniswap.org
  • OpenSea : opensea.io
  • Binance : binance.com

Il est recommandé d'ajouter les sites fréquents aux favoris du navigateur et d'y accéder toujours via les favoris, sans utiliser les moteurs de recherche ni cliquer sur des liens externes.

Quels sont les canaux de distribution des sites de phishing ?

Illustration des opérations

Connaître les modes de distribution des sites de phishing permet de s'en prémunir à la source :

  1. Publicités dans les moteurs de recherche : les sites de phishing achètent des publicités Google/Bing pour apparaître en tête des résultats
  2. Messages privés sur les réseaux sociaux : de faux agents de support sur Twitter et Discord envoient des liens « d'aide »
  3. E-mails frauduleux : e-mails se faisant passer pour des exchanges ou des projets avec des « vérifications de sécurité »
  4. Groupes Telegram : faux liens envoyés par des bots dans les groupes
  5. Airdrops de NFT : des NFT airdropés contenant des liens de phishing
  6. Comptes officiels piratés : liens publiés après la compromission de comptes officiels sur Twitter/Discord

Comment se protéger lors de la connexion du portefeuille ?

Même si le site est légitime, restez vigilant lors de la connexion du portefeuille et de la signature :

  1. Lire attentivement le contenu de la signature : la fenêtre contextuelle de MetaMask affiche le contenu spécifique que vous allez signer ; ne confirmez pas aveuglément
  2. Être alerté par les demandes d'autorisation anormales : si une opération simple demande l'autorisation pour tous les tokens, quelque chose ne va pas
  3. Attention au type de signature : les signatures de type eth_sign sont très dangereuses ; elles peuvent signer n'importe quel message et les DApps légitimes les utilisent rarement
  4. Vérifier les détails de la transaction : confirmer que l'adresse de destination, le montant et les frais de Gas sont raisonnables
  5. Utiliser des outils de simulation de transactions : des extensions de navigateur comme Pocket Universe ou Fire peuvent simuler les résultats avant confirmation

Conseils de sécurité

La protection contre le phishing nécessite de développer de bonnes habitudes de navigation ; les recommandations suivantes vous aideront à réduire significativement le risque :

  1. Enregistrer les URLs officielles dans les favoris : accédez à tous les sites fréquents via les favoris ; ne les recherchez pas à chaque fois
  2. Installer des extensions anti-phishing : comme Pocket Universe, ScamSniffer, etc.
  3. Ne pas cliquer sur des liens inconnus : surtout dans les messages privés sur les réseaux sociaux et les e-mails
  4. Vérifier le certificat SSL : confirmer que la barre d'adresse affiche l'icône de cadenas (mais ce n'est pas un critère unique ; les sites de phishing peuvent aussi avoir SSL)
  5. Configurer un code anti-phishing sur l'exchange : après avoir configuré le code anti-phishing sur Binance et d'autres exchanges, tous les e-mails officiels incluront votre code exclusif
  6. Maintenir une attitude sceptique : toute demande d'« action urgente » ou de « réclamation à durée limitée » est hautement suspecte

Utilisez les cryptomonnaies en toute sécurité en commençant par choisir des plateformes fiables. Site officiel de Binance pour bénéficier d'une protection de sécurité professionnelle, ou téléchargez l'application officielle de Binance. Les utilisateurs Apple peuvent consulter le tutoriel d'installation iOS pour une meilleure expérience.

Que faire si un site de phishing semble identique au vrai site ?

Concentrez-vous sur le domaine, pas sur l'apparence. Les sites de phishing peuvent copier à 100 % l'apparence du vrai site, mais le domaine ne peut pas être exactement le même. Prenez l'habitude d'accéder via les favoris et de saisir manuellement le domaine, sans vous fier au jugement visuel.

Si j'ai été victime d'un site de phishing, puis-je récupérer mes fonds ?

C'est très difficile. Si vous avez saisi votre phrase de récupération sur un site de phishing, vous devez immédiatement l'importer dans le vrai portefeuille et transférer tous les actifs. Si vous avez signé une autorisation malveillante, utilisez immédiatement Revoke.cash pour révoquer l'autorisation. Les actifs transférés ne peuvent généralement pas être récupérés.

Les attaques de phishing peuvent-elles se produire sur mobile ?

Oui. Les attaques de phishing sur mobile sont tout aussi courantes, y compris les fausses apps, les liens de phishing par SMS, les liens malveillants sur les réseaux sociaux, etc. De plus, l'écran plus petit du mobile rend plus difficile la lecture complète de l'URL, ce qui exige une vigilance accrue.

L'utilisation d'un VPN protège-t-elle contre le phishing ?

Un VPN ne peut pas empêcher les attaques de phishing. Le VPN protège la sécurité de la transmission des données, mais si vous visitez volontairement un site de phishing et y saisissez vos informations, le VPN ne peut rien y faire. La clé contre le phishing est d'identifier et d'éviter les faux sites.

Articles connexes

Qu'est-ce que l'empoisonnement d'adresses – Fonctionnement et protection contre cette attaque 2026-03-28 Comment stocker vos clés privées en toute sécurité – Plan complet de stockage sécurisé 2026-03-28 Qu'est-ce que le détournement du presse-papiers – Attaques du presse-papiers dans les cryptomonnaies et comment s'en protéger 2026-03-28 La sauvegarde en acier de la phrase de récupération en vaut-elle la peine - Guide d'achat et évaluation 2026-03-28