Découvrez dès maintenant notre plateforme d'e-learning avec nos formations en Cybersécurité & Digitale.
Notre offre Formation L'équipe Blog Guides
Contact
<- Retour au blog

Une rançon ? Non ! Une traque contre les hackers

25 Mai 2025 | Valentin

Illustration de l'article

recap

cyber

actu

Coinbase, la plateforme de cryptomonnaie, a surpris tout le monde cette semaine en se la jouant terminator ou Brian Mills en annonçant une récompense de 20 millions de dollars à qui les aiderait à arrêter les attaquants essayant de les extorquer après une fuite de leurs données.

Et d’ailleurs, cette semaine, sans le vouloir, les menaces internes sont un peu mises à l'honneur dans notre récap de l'actu cyber, car ce leak de Coinbase viendrait d'une corruption d’employé, mais aussi nous allons parler de l'arnaque qu'a subie DoorDash, avant de parler de SIM swapping, de Bitcoin et d’attaques sur les records DNS CNAME.

Coinbase

C'est le meilleure contre-uno de l'histoire de la cyber que Coinbase nous a jouée cette semaine en lançant une chasse aux cybercriminels !

Cette histoire a commencé par des attaquants envoyant un email au CEO de Coinbase pour lui indiquer qu'ils sont en possession de données de leurs clients, mais aussi de documents internes, et que si Coinbase ne veut pas que ses données soient leakées, ils doivent payer 20 millions d’euros.

Comment vous vous auriez réagi ? Eh bien, Coinbase a décidé de dire non à cette demande de rançon, mais en plus, d'offrir 20 millions de dollars à qui les aiderait pour attraper ces attaquants.

C'est un revirement de situation complètement fou et inédit, mais ce n'est pas la seule action qui a été prise, car le leak proviendrait d'employés en interne ayant été corrompus et qui ont donc été licenciés sur le champ, sans oublier la possibilité de se faire rembourser pour les clients s'ils ont envoyé de l'argent aux hackers sans le vouloir pendant l'attaque. ([1], [2], [3])

Fraude interne

Se faire livrer tous les jours son restaurant préféré gratuitement ou recevoir de l'argent de livraison que vous n'avez jamais effectué : voilà ce qu'a réalisé un petit groupe de fraudeurs entre 2020 et 2021.

DoorDash, l'équivalent de UberEats ou Deliveroo aux États-Unis, a subi une fraude interne de 2 millions 500 mille par un petit groupe au métier variés dans l'entreprise et dont le processus entier prenait moins de cinq minutes à réaliser !

Les fraudeurs ont tous simplement commencé par créer des centaines de faux profils de livreur et de clients. Ils utilisaient alors ces faux profils clients pour créer des commandes et les assigner à ces faux livreurs directement depuis le backoffice de DoorDash, en utilisant des crédentials de deux employés dont on ne sait pas s'ils ont été volés ou si ces employés faisaient aussi partie de la fraude.

Si l'accusé a plaidé coupable hier, c'est encore une histoire de plus qui nous rappelle que les menaces internes sont bien présentes et réelles ! ([4])

Controler la crypto

Contrôler la bourse ou le cours de la crypto devient aujourd'hui de plus en plus facile lorsqu'un simple tweet d'un dirigeant ou d'une administration suffit à enflammer les marchés, même pour des attaquants même pas capables de rester discrets. Vous allez comprendre pourquoi !

Les attaquants l'ont donc bien compris, comme cet homme de l’Alabama qui a été arrêté après être parvenu à prendre possession du compte X de la sécurité nationale des échanges et des commissions et de publier sur ce compte la validation officielle de la création d’un ETF pour le bitcoin, ce qui avait fait prendre au bitcoin 1000$ avant de lui en faire perdre 2000 quand la commission a annoncé le fake.

Pour réaliser cela, l’attaquant a réalisé une attaque de SIM swapping en se rendant physiquement chez un revendeur et se faisant passer pour une personne ayant accès à ce compte X mais ayant perdu son téléphone.

Le fournisseur de télécom lui a donc fourni une nouvelle carte SIM, que l’attaquant a insérée dans un téléphone acheté pour l’occasion qu’il a ensuite rendu à Apple.

Si l’attaque semble bien aboutie, le moment marrant, c’est maintenant car si l’on est sûr que c’est lui, c’est que ce dernier a fait des recherches Google bien particulières comme « comment savoir que le FIB nous traque » ou encore « Telegram SIM swap », ça a d’avoir commis le crime parfait.([5])

CNAME RECORD

Lorsque l’on parle d’attaque cyber, on parle souvent, si ce n’est que de cela, de ransomware, de phishing et de leak de données.

Mais il n’y a pas que ces attaques dans la vie ou du moins ce n’est pas le seul objectif des groupes d’attaquants qui ont d’ailleurs souvent leur petite spécialité. Et l’une des spécialités oubliées, c’est celle des attaquants souhaitant vous rediriger vers un maximum de pubs ou vers des sites pornos.

Et justement cette semaine, le groupe d’attaquant hazy-hawk a fait surface avec cet objectif mais en utilisant des ressources cloud oubliées et des records DNS CNAME aussi oubliés. En gros, leurs objectifs, c’est d’utiliser un maximum les éléments de l’infra d’une entreprise pendant qu’eux récoltent le pactole.

Ce genre d’attaque reste assez simple à détecter mais est souvent oublié et peut donc rester des mois dans votre infra alors qu’il suffit simplement de bien tout supprimer, que ce soit les records DNS ou les ressources cloud.([6])

Toute l'actualité en cybersécurité, développement (WEB, Cloud) et tech sur notre chaine youtube ou en nous contactant pour réaliser une formation en présentiel dans votre entreprise !

Les derniers articles

Illustration pour l'article Summer body ? Non, summer leak plutôt !

Summer body ? Non, summer leak plutôt !

27 Juillet 2025 | Valentin

recap

cyber

actu
Illustration pour l'article Les e-SIMs toutes vulnérables ? (Non)

Les e-SIMs toutes vulnérables ? (Non)

20 Juillet 2025 | Valentin

recap

cyber

actu
Illustration pour l'article LLM : Les chercheurs tentent aussi de les duper !

LLM : Les chercheurs tentent aussi de les duper !

13 Juillet 2025 | Valentin

recap

cyber

actu