Vous avez gagné 30 bitcoins !

Vous avez gagné 30 bitcoins !

Et c’est la marmotte qui emballe le chocolat

Avatar de l'auteur

Jean Gebarowski

Publié dansInternet

28/01/2022
38
Vous avez gagné 30 bitcoins !

Règle de base : si le message semble trop beau pour être vrai, c’est souvent le cas. Les techniques utilisées sont de plus en plus sophistiquées et le diable est parfois dans les détails. On décortique une tentative d’arnaque aux bitcoins qui parait pourtant alléchante au premier abord.

Quelle joie de recevoir de bonnes nouvelles, pendant les fêtes ou en début d'année ! Malgré la chute des cours des cryptomonnaies, apprendre par mail qu’on s’appelle Rob Hoffman, qu’on a 30 bitcoins qui dorment dans un coin et qu’il n’y a plus qu’à se connecter pour les retirer, ça fait plaisir et donne envie d’aller voir de plus près, peu importe que le mail se trouve dans le dossier des indésirables et que l’expéditeur ait un nom de domaine sans rapport avec le site indiqué dans le corps du message. Que ne ferait-on pas pour 30 bitcoins, surtout qu’ils pourraient être avantageusement investis dans un abonnement à Next INpact (ou dans l'inflation à venir).

Dans le doute...

Avant d’aller trop loin, rappelons que tout ce qui est trop beau pour être vrai est… trop beau pour être vrai : le jardinier de Kadhafi qui a mis des millions de dollars de côté pour vous, les investissements en cryptomonnaies qui rapportent 5 % par jour, on connait. Mais pourquoi proposer 30 bitcoins sans contrepartie : où est le piège ?

Il y en a forcément un, mais lequel ? Nous allons décrypter cette affaire qui s'est présentée à nous, en cherchant à établir le scénario mis en place par les fraudeurs. Au passage, n’essayez pas vous-même de creuser ce genre d’arnaques si vous ne savez pas exactement ce que vous faites. Pour cette petite enquête, il vaut mieux sortir couvert : machines virtuelles/isolées, connexion anonyme et numéro de téléphone jetable sont de rigueur.

Première connexion

Entrons donc nos identifiants fournis par mail. Un premier écran nous demande la devise dans laquelle on souhaite opérer, pour donner une première impression crédible. Une fois connecté, on nous avertit qu’en raison de la valorisation de notre portefeuille, il est indispensable de modifier le mot de passe pour en mettre un plus sûr, et d’utiliser un code à usage unique (OTP) reçu sur un smartphone.

La modification du mot de passe n’est guère rassurante : à part 123456 et 12345678, on peut mettre ce qu’on veut. Nous avons opté pour un très original ABCDefgh. Nous voilà donc avec super mot de passe très difficile à deviner. Pour ce qui est de l’OTP, il faut entrer un numéro de téléphone et un automate appelle pour fournir un code à six chiffres. Après quelques recherches, il s’agirait d’un service a priori légitime, sellaite.com, mais encore une fois on veut faire sérieux.

  • Vous avez gagné 30 bitcoins
  • Vous avez gagné 30 bitcoins
  • Vous avez gagné 30 bitcoins
  • Vous avez gagné 30 bitcoins
  • Vous avez gagné 30 bitcoins
  • Vous avez gagné 30 bitcoins

Maintenant que nous sommes connectés, jetons un coup d’œil sur le tableau de bord : nos 30 BTC sont là. Une constatation d’emblée : il s’agit d’un site fonctionnel et dynamique, et non d’un vulgaire site de phishing où seule la page de connexion est implémentée. On peut donc naviguer, créer des portefeuilles d’investissement et même envoyer des messages à un support (on attend toutefois toujours la réponse à notre message).

Par ici la monnaie

La première chose qu’on va vouloir faire est un petit retrait sur notre compte d’investissement déjà bien rempli malgré nous. Et, effectivement, le retrait sera petit : pour d’évidentes raisons de sécurité (ah oui ?), il ne peut dépasser 0,0001 BTC soit quelques euros au cours actuel. Pas question de retirer les 30 BTC tout de suite.

On valide tout ça, et on attend un peu pour voir si la transaction passe réellement. Et (demi-surprise) : elle passe. Le pouillème de bitcoin est bien reçu sur notre portefeuille de test. Ça remboursera une partie de la carte prépayée du téléphone jetable… Maintenant, passons aux choses sérieuses, vu que cela semble fonctionner : retirons le pactole.

Il reste 29,9999 BTC sur votre portefeuille. Mais si vous regardez bien, la création d’un portefeuille propose un mécanisme assez curieux, qui fait prendre tout son sens à cette arnaque : il y a un montant minimum de retrait. Cette option nommée « SaveProTM » peut être activée lors de la création d’un portefeuille d’investissement

Vous avez gagné 30 bitcoinsVous avez gagné 30 bitcoins

C'est l'une des fonctions utilisables sur le site, qui permet de créer un portefeuille et promet une belle culbute de 25 % en un an. On obtient en retour une adresse BTC sur laquelle on peut effectuer des versements, mais nous n’irons pas pousser la taquinerie jusque-là, le retour sur investissement (ou des fonds) est certainement aléatoire.

On voit tout de même que l'on peut créer un portefeuille avec un montant minimum de retrait via la fonction SaveProTM. Vous vous demandez pourquoi vous feriez ça ? Logique. Néanmoins, le beau portefeuille bien rempli auquel vous avez accès a bel et bien activé cette option. Et que voit-on ? Le montant minimal de retrait pour ce portefeuille est de 30,006 BTC. Il manque donc 0,007 BTC pour pouvoir retirer votre argent.

Compris ? Pour toucher vos sous, vous serez donc obligé de verser sur votre portefeuille au minimum 0,007 BTC. Si vous le faites, vous ne le reverrez bien sûr jamais, mais nous voilà face à un scenario bien huilé et un site parfaitement crédible et fonctionnel en apparence, dont le seul but est de vous faire verser un peu d’argent (230 euros environ) dans l’espoir – vain – de récupérer un pactole.

Il s’agit donc de la variante en cryptomonnaie du jardinier de Kadhafi ou du riche homme d’affaires décédé sans héritier qui vous versera son héritage à condition de régler les frais de dossier de l’avocat ou du notaire, mais réalisée de façon évoluée en s’appuyant sur un joli site web.

Vous avez gagné 30 bitcoins
Crédits : Jean Gebarowski

La puce à l’oreille

Quels indices indiquent que l’on est en présence d’une arnaque ? Le plus important reste l’affaire trop belle pour être vraie. L’adresse mail d’expédition est également un indice fort ; heureusement, des progrès sont à constater et il devient difficile d’envoyer des mails frauduleux sans se retrouver dans le dossier des indésirables.

Regardons d'ailleurs le nom de domaine. Si les bases WhoIs ne montrent plus les données personnelles suite à l’application du RGPD, sa consultation reste souvent instructive.

Voici ce qu’on trouve pour notre site d’investissement en cryptomonnaies :

The Registry database contains ONLY .COM, .NET, .EDU domains and Registrars.
Domain Name: coinlux.net
Registry Domain ID: 2658202417_DOMAIN_NET-VRSN
Registrar WHOIS Server: whois.registrar.eu
Registrar URL: http://www.registrar.eu
Updated Date: 2021-11-29T16:27:43Z
Creation Date: 2021-11-29T09:05:10Z
Registrar Registration Expiration Date: 2022-11-29T09:05:10Z
Registrar: Hosting Concepts B.V. d/b/a Registrar.eu
Registrar IANA ID: 1647

Une date de création trop récente pour un nom de domaine est un indice classique : les fraudeurs sont souvent délogés et blacklistés, ils sont dans l’obligation de changer régulièrement de domaine. On retrouve ça également sur les faux sites de commerce ou les sites de contrefaçon : il ne s’agit jamais de sites anciens et bien établis.

Où est-il, ce site ?

Deuxième vérification de base : trouver la localisation du site, afin de voir dans quel pays on se trouve et quel est l’hébergeur concerné. Une simple commande dig donne :

Vous avez gagné 30 bitcoins
Crédits : Jean Gebarowski

Deux adresses IP apparaissent, et un WhoIs nous présente une tactique répandue chez les fraudeurs : il s’agit d’adresses chez cloudflare.com, service légitime et bien connu proposant de nombreux services IP tels que la mise en cache ou la protection contre les attaques. L’intérêt pour un attaquant est de masquer la véritable adresse IP du serveur. Qu’à cela ne tienne, nous avons nos petites sources.

Nous obtenons une nouvelle adresse IP, et là les choses changent : l’adresse est située en Ukraine, et shodan.io nous confirme que le serveur est situé à Kiev. On remarquera aussi que deux autres sites web sont actifs sur des ports peu habituels (10 000 et 20 000), sans doute pour administrer les données et récupérer les identifiants de portefeuille ou effectuer les transferts de bitcoins.

Vous avez gagné 30 bitcoinsVous avez gagné 30 bitcoins

Ce sera pour la prochaine fois

Disons adieu à nos rêves de fortune, mais vous aviez compris l’essentiel : les fraudeurs ne manquent pas d’imagination et adaptent leurs tactiques selon les modes et nos usages.

Ce genre de site peut d’ailleurs très bien avoir été conçu par une équipe spécialisée pour être revendu à différents opérateurs, comme on le voit pour les ransomwares. La cybercriminalité est depuis longtemps (et pour longtemps) passée en mode industriel.

38
Avatar de l'auteur

Écrit par Jean Gebarowski

Tiens, en parlant de ça :

Logo ownCloud

ownCloud : faille béante dans les déploiements conteneurisés utilisant graphapi

Dangereuse, mais spécifique ?

15:57Sécurité 2
Le SoC Graviton4 d’Amazon AWS posé sur une table

Amazon re:invent : SoC Graviton4 (Arm), instance R8g et Trainium2 pour l’IA

Tout plus mieux qu'avant

09:30Hardware 0
Logo Comcybergend

Guéguerre des polices dans le cyber (OFAC et ComCyberMi)

CyberCom'

09:06Sécurité 10

Sommaire de l'article

Introduction

Dans le doute...

Première connexion

Par ici la monnaie

La puce à l’oreille

Où est-il, ce site ?

Ce sera pour la prochaine fois

Logo ownCloud

ownCloud : faille béante dans les déploiements conteneurisés utilisant graphapi

Sécurité 2
Le SoC Graviton4 d’Amazon AWS posé sur une table

Amazon re:invent : SoC Graviton4 (Arm), instance R8g et Trainium2 pour l’IA

Hardware 0
Logo Comcybergend

Guéguerre des polices dans le cyber (OFAC et ComCyberMi)

Sécurité 10

#LeBrief : faille 0-day dans Chrome, smartphones à Hong Kong, 25 ans de la Dreamcast

0
Mur d’OVHcloud à Roubaix, avec le logo OVHcloud

OVHcloud Summit 2023 : SecNumCloud, IA et Local Zones

HardwareInternet 2
algorithmes de la CAF

Transparence, discriminations : les questions soulevées par l’algorithme de la CAF

IA et algorithmesSociété numérique 51

Plainte contre l’alternative paiement ou publicité comportementale de Meta

DroitIA et algorithmes 23
Nuage (pour le cloud) avec de la foudre

Économie de la donnée et services de cloud : l’Arcep renforce ses troupes

DroitInternet 0
De vieux ciseaux posés sur une surface en bois

Plus de 60 % des demandes de suppression reçues par Google émanent de Russie

Société numérique 4
Une vieille boussole posée sur un plan en bois

La Commission européenne et Google proposent deux bases de données de fact-checks

DroitInternet 3

#LeBrief : des fichiers Google Drive disparaissent, FreeBSD 14, caméras camouflées, OnePlus 12

0

Le poing Dev – round 6

Next 143

Produits dangereux sur le web : nouvelles obligations en vue pour les marketplaces

Droit 9
consommation de l'ia

Usages et frugalité : quelle place pour les IA dans la société de demain ?

IA et algorithmes 12

La NASA établit une liaison laser à 16 millions de km, les essais continuent

Sciences et espace 17
Concept de CPU

Semi-conducteurs : un important accord entre l’Europe et l’Inde

Hardware 7

#LeBrief : PS5 Slim en France, Valeo porte plainte contre NVIDIA, pertes publicitaires X/Twitter

0
Un mélange entre une réunion d’Anonymous et de tête d’ampoules, pour le meilleur et le pire

651e édition des LIDD : Liens Intelligents Du Dimanche

Internet 30
Bannière de Flock avec des bomes sur un fond rouge

#Flock, le grand remplacement par les intelligences artificielles

Flock 34
Un Sébastien transformé en lapin par Flock pour imiter le Quoi de neuf Docteur des Looney Tunes

Quoi de neuf à la rédac’ #9 : LeBrief 2.0, ligne édito, dossiers de fond

Next 64
Pilule rouge et bleue avec des messages codés

Encapsulation de clés et chiffrement d’enveloppes

Sécurité 31
Empreinte digital sur une capteur

Empreintes digitales : les capteurs Windows Hello loin d’être exemplaires

Sécurité 20

#LeBrief : succès du test d’Ariane 6, réparer plutôt que remplacer, Broadcom finalise le rachat de VMware

0

Hébergeurs, éditeurs, espaces de conversation ? La difficile régulation des réseaux sociaux

Réseaux sociauxSociété numérique 23
Puces en silicium

Silicium : un matériau indispensable et omniprésent, mais critique

HardwareSciences et espace 25
Panneau solaire bi-face Sunology Play

Panneaux solaires en autoconsommation : on décortique le kit Play de Sunology

Hardware 28
The eyes and ears of the army, Fort Dix, N.J.

Un think tank propose d’autoriser les opérations de « hack back »

Sécurité 13

#LeBrief : Ariane 6 sur le banc de test, arrestation algorithmique, entraînement d’IA par des mineurs

0
Logo de Google sur un ordinateur portable

Chrome : Google corrige plusieurs failles sévères, dont une déjà exploitée

Logiciel 2

vieux téléphones portables

Des cadres supérieurs invités à n’utiliser que des téléphones jetables à Hong Kong

Sécurité 18

La Dreamcast de Sega fête ses 25 ans

Hardware 19

Pilule rouge et bleue avec des messages codés

Démantèlement d’un groupe ukrainien de rançongiciels

Sécurité 4

Commentaires (38)


ColinMaudry Abonné
Il y a 2 ans

Merci ! Parfois j’ai aussi envie de tenter de suivre le lapin blanc pour voir jusqu’où l’arnaque creuse dans l’absurde. Mais bon, déjà c’est du temps, et puis comme dit dans l’article ce n’est pas dénué de risques si on n’est pas prudent sur les traces que l’on laisse.


ArKoS Abonné
Il y a 2 ans

Super article merci !


laurent64480
Il y a 2 ans

Bon, J’attends mes 30 bitcoins maintenant. Vous souhaitez un virement bancaire de 1000€ pour couvrir les frais?


Jarodd Abonné
Il y a 2 ans

Et NI inventa… le putaclic éducatif :transpi:


Tandhruil
Il y a 2 ans

Très bon article, merci


Albirew Abonné
Il y a 2 ans

si on crée 70 comptes et qu’on retire les 0.0001btc à chaque fois, on pourra remplir le 1er portefeuille avec le pognon du scammeur et retirer les 30,007BTC, non? :fou3:


fry Abonné
Il y a 2 ans

j’allais poser la même question :D



arghl, j’avais mal lu, on retire 0.0001
et le mini pour retirer c’est 30.006
du coup il manque 0.0061
donc c’est pas 6 ou 7 fois la récupération de 0.0001 btc qu’il faut faire, mais effectivement plutôt 61, ça peut être long, et coûter cher en numéro de téléphone jetable :/


trash54
Il y a 2 ans

Superbe article



Vous avez pas tenté plusieurs fois de récupérer le 0.0001 BTC ?


Jean_G Abonné
Il y a 2 ans

Tu ne peux pas : c’est leur fameux mécanisme SaveProTM….


eglyn Abonné
Il y a 2 ans

Jean_G

Tu ne peux pas : c’est leur fameux mécanisme SaveProTM….

Le mécanisme empêche de retirer une somme inférieure à 30,007 BC OK, je vois le truc.



Par contre, une fois que l’on a (naivement) rajouter les 0.007 BC qu’il manque, le retrait est impossible pour quelles raisons ?
Car si le système bloque le retrait à 30.007BC mini c’est que les 30BC sont sur le compte non ?



J’ai cru que le système d’arnaque se basait quand même sur un socle réel, pas que du fake :transpi:


cyp Abonné
Il y a 2 ans

On ne peut pas faire 300000000 retrait de 0,0001 BTC? :D


Fuli
Il y a 2 ans

Chouette, ils versent vraiment des sous ? Si un gars un peu malin sait capter quelques milliers de numéro de téléphone pour quelques secondes, il y a moyen de scripter des milliers de création de comptes et l’envoi de milliers de 0.00001 BTC vers un compte à soi.


ErGo_404
Il y a 2 ans

Ce n’est peut être pas la peine.
Tu as une chance sur 999999 de trouver le “bon” code OTP.
Si on connait le serveur d’origine on peut peut-être taper dessus directement pour éviter la protection cloudflare.
Il suffit alors de faire du brute force sur le serveur, et statistiquement à chaque million de requête tu gagnes quelques euros.



Aucune idée de la rentabilité de cette affaire par contre, surtout avec le temps passé pour faire le script.



EDIT: ça aura le double effet kiss kool de leur coûter de l’argent et de rendre leur opération très peu rentable.


sanscrit
Il y a 2 ans

ErGo_404

Ce n’est peut être pas la peine. Tu as une chance sur 999999 de trouver le “bon” code OTP. Si on connait le serveur d’origine on peut peut-être taper dessus directement pour éviter la protection cloudflare. Il suffit alors de faire du brute force sur le serveur, et statistiquement à chaque million de requête tu gagnes quelques euros.

Aucune idée de la rentabilité de cette affaire par contre, surtout avec le temps passé pour faire le script.

EDIT: ça aura le double effet kiss kool de leur coûter de l’argent et de rendre leur opération très peu rentable.

c’est surtout super illégale en France de le faire, il n’y a pas l’exception : sauf site de méchant escroc.



si un procureur ukrainien corrompu trempe la dedans, il envoi une requête a interpol, et en France c’est une autre histoire :) même si tes intentions sont bonnes.


ErGo_404
Il y a 2 ans

sanscrit

c’est surtout super illégale en France de le faire, il n’y a pas l’exception : sauf site de méchant escroc.

si un procureur ukrainien corrompu trempe la dedans, il envoi une requête a interpol, et en France c’est une autre histoire :) même si tes intentions sont bonnes.

La discussion était purement théorique … ;-)


vizir67 Abonné
Il y a 2 ans

je ne comprends pas trop la raison :




  • QUEL est l’intérêt (pour eux) ? :zarb:


Vilainkrauko Abonné
Il y a 2 ans

Merci bien !


alex.d. Abonné
Il y a 2 ans

J’ai raté une étape. Je n’ai pas compris comment on est passé de Cloudflare à l’Ukraine.


darkweizer Abonné
Il y a 2 ans

NextInpact a dit:


on attend toutefois toujours la réponse à notre message




Vous aviez demandé quoi ?! :-D


hurd Abonné
Il y a 2 ans

Ça donne presque envie d’être riche pour faire une arnaque du style qui n’en est pas une et l’envoyer à des administrateurs-systèmes très vigilant sur les arnaques.


MisterDams Abonné
Il y a 2 ans

eglyn a dit:


Le mécanisme empêche de retirer une somme inférieure à 30,007 BC OK, je vois le truc.



Par contre, une fois que l’on a (naivement) rajouter les 0.007 BC qu’il manque, le retrait est impossible pour quelles raisons ? Car si le système bloque le retrait à 30.007BC mini c’est que les 30BC sont sur le compte non ?



J’ai cru que le système d’arnaque se basait quand même sur un socle réel, pas que du fake :transpi:




Le problème c’est que le test peut coûter un peu plus de 200€ :eeek2: , ça en fait des abonnements Premium pour aller vérifier. :transpi:



Possible qu’il y ai des frais sur le retrait qui t’empêchent de sortir l’argent pour rajouter encore une étape sur laquelle il faut leur verser de l’argent, ou qu’un malencontreux bug technique empêche de faire la manipulation… ou qu’on pousse le vice à essayer de te faire filer ta clé privée pour sécuriser une transaction “conséquente”. :D


Jean_G Abonné
Il y a 2 ans

(reply:1927104:eglyn) Ici non le système n’a que l’apparence d’un vrai site, pas comme dans d’autres systèmes utilisant les pyramides de Ponzi, par exemple. Le but du premier virement réel est de mettre en confiance l’utilisateur.



(reply:1927102:darkweizer) Zut je me rappelle plus mais c’était un message normal (genre est-ce que je peux changer de 2FA) pour voir s’ils poussaient le bouchon jusqu’à répondre, mais sans éveiller l’attention si jamais c’était vraiment lu.



(reply:1927100:alex.d.) C’est une question d’éthique. Bien que ça ne soit pas compliqué, je préfère ne pas diffuser largement le procédé, car CloudFlare permet entre autres de cacher les adresses IP réelles des sites. Ainsi, un pirate peu qualifié qui chercherait à faire un DDoS sur un site web (légitime) utilisant CloudFlare sera arrêté par CloudFlare. Mais s’il dispose de l’adresse réelle, il pourra taper directement. Autant éviter, même si ça n’arrêtera pas quelqu’un ayant quelques connaissances en la matière.



vizir67 Abonné
Il y a 2 ans

Le but du premier virement réel est de *mettre en confiance* l’utilisateur…



malin le ‘Lynx’ !!! :fumer:


manus Abonné
Il y a 2 ans

Pour information, les ports TCP 10000 et 20000 sont ceux de Webmin et Usermin respectivement (je ne les vois plus ouvert pour ma part), c’est peut-être juste une coïncidence.


darkweizer Abonné
Il y a 2 ans

Jean_G a dit:


Zut je me rappelle plus mais c’était un message normal (genre est-ce que je peux changer de 2FA) pour voir s’ils poussaient le bouchon jusqu’à répondre, mais sans éveiller l’attention si jamais c’était vraiment lu.




:chinois:


galerienv Abonné
Il y a 2 ans

C’est encore pire que ce qui est annoncé dans la copie écran :
YURTEH-AS (30860) Ukraine
21/FTP 22/SSH 25/SMTP 53/DNS 80/HTTP 110/POP3 143/IMAP 443/HTTP 587/SMTP
993/IMAP 995/POP3 2222/SSH 3306/MYSQL 10000/HTTP 20000/HTTP
services.tls.certificates.leaf_data.names: coinlux.net
services.tls.certificates.leaf_data.subject.common_name: coinlux.net
services.tls.certificates.leaf_data.subject_dn: CN=coinlux.net



Il semblerait que la BDD mysql soit accessible par Internet. Honeypot ?


domFreedom
Il y a 2 ans

Jarodd a dit:


Et NI inventa… le putaclic éducatif :transpi:




:mdr2: :incline: :8


Inodemus Abonné
Il y a 2 ans

Finalement, aussi sophistiquées qu’elles soient, par Internet, e-mail, même courrier, et ce depuis très longtemps, ces arnaques à distance sont toujours les mêmes : elles demandent à un moment un paiement pour quelque chose qui n’en nécessite pas. Seul le moyen de transfert et l’emballage de mise en confiance change.



Globalement simple à déjouer, même pas besoin de se demander si c’est trop beau pour être vrai, quand il n’y a pas de raison de payer, on ne paie pas et ça s’arrête là. On risque cependant d’avoir donné un peu trop d’infos persos au moment où la demande de paiement sans raison arrive.


Amabaka Abonné
Il y a 2 ans

Je ne suis pas tout à fait d accord avec cette analyse. Avec une arnaque bien faite, la raison de payer peut correspondre à des situations où l on a vraiment des frais et des raisons de payer dans une situation “réelle”.



Par exemple, si l’ont nous dit qu’il s agit d un investissement dans une nouvelle super crypto ou NFT qui a le potentiel de faire du 1000%, et bien c’est vrai que quand on investit, il faut engager une somme avant le potentiel retour sur investissement.
Si on nous dit qu’il y a 100 euros offert pour les nouveaux clients à l’ouverture d un compte mais qu’il faut un dépôt de 20 euros minimum pour ouvrir le compte : situation réaliste qui correspond à des pratiques réelles.



Donc le “trop beau pour être vrai” reste le premier signal d alerte à mon goût.


Inodemus Abonné
Il y a 2 ans

Amabaka

Je ne suis pas tout à fait d accord avec cette analyse. Avec une arnaque bien faite, la raison de payer peut correspondre à des situations où l on a vraiment des frais et des raisons de payer dans une situation “réelle”.

Par exemple, si l’ont nous dit qu’il s agit d un investissement dans une nouvelle super crypto ou NFT qui a le potentiel de faire du 1000%, et bien c’est vrai que quand on investit, il faut engager une somme avant le potentiel retour sur investissement. Si on nous dit qu’il y a 100 euros offert pour les nouveaux clients à l’ouverture d un compte mais qu’il faut un dépôt de 20 euros minimum pour ouvrir le compte : situation réaliste qui correspond à des pratiques réelles.

Donc le “trop beau pour être vrai” reste le premier signal d alerte à mon goût.

Habituellement, dans ce genre de situation, on signe un contrat avec une société réelle, qui garantit la livraison de ce pourquoi on paye. Il faut lire et vérifier que la société existe réellement, et/ou chercher des avis dessus.



Dans la finance décentralisée, cette garantie peut aussi être apportée par du code plutôt qu’un contrat classique. Dans ce cas, soit on peut aller lire le code pour savoir ce qui va se passer (pas facile), soit on se fie aux avis et à la réputation du service (comme dans la vraie vie en fait quand on a la flemme de lire les contrats), chose que n’ont pas les arnaqueurs qui sortent de nulle part.


vizir67 Abonné
Il y a 2 ans

Amabaka

Je ne suis pas tout à fait d accord avec cette analyse. Avec une arnaque bien faite, la raison de payer peut correspondre à des situations où l on a vraiment des frais et des raisons de payer dans une situation “réelle”.

Par exemple, si l’ont nous dit qu’il s agit d un investissement dans une nouvelle super crypto ou NFT qui a le potentiel de faire du 1000%, et bien c’est vrai que quand on investit, il faut engager une somme avant le potentiel retour sur investissement. Si on nous dit qu’il y a 100 euros offert pour les nouveaux clients à l’ouverture d un compte mais qu’il faut un dépôt de 20 euros minimum pour ouvrir le compte : situation réaliste qui correspond à des pratiques réelles.

Donc le “trop beau pour être vrai” reste le premier signal d alerte à mon goût.

ça me fait penser aux ‘Anti-virus’, c’est pareil, le meilleur des ‘AV.’ reste l’Humain
qui-ne-doit-pas-cliquer-SUR-TOUT-CE-QUI-BOUGE ! :francais:


Winderly Abonné
Il y a 2 ans

“Rob”
Un nom de voleur. :transpi:


Winderly Abonné
Il y a 2 ans

“Le montant minimal de retrait pour ce portefeuille est de 30,006 BTC.”
Je comprend pas comment vous avez pu retirer 0,0001 BTC.


minirop Abonné
Il y a 2 ans

le premier retrait de 0,0001BTC est là juste pour mettre en confiance, le coup du montant minimum de 30,006 c’est si tu veux retirer tout d’un coup.


blob741
Il y a 2 ans

J’ai pas lu l’article ou les commentaires, mais c’est chouette de voir le retour des concours en si grande forme.


Oliewan Abonné
Il y a 2 ans

Magnifique article, merci.


jom Abonné
Il y a 2 ans

:yes: Article très intéressant, merci !


Ami-Kuns Abonné
Il y a 2 ans

:bravo: