Comment identifier les liens de phishing ?

18 juin 2026

Les liens de phishing se déguisent en sources de confiance pour inciter les utilisateurs à cliquer et divulguer leur clé privée ou phrase mnémonique. Maîtriser les méthodes d'identification est la première ligne de défense pour protéger les crypto-actifs.

Pourquoi c'est important

Les attaques de phishing sont l'une des principales causes de perte d'actifs dans le domaine des crypto-monnaies. Le guide OWASP sur le phishing définit le phishing comme une technique d'ingénierie sociale dans laquelle l'attaquant se fait passer pour une entité de confiance afin de tromper la victime et l'amener à fournir des informations sensibles ou à effectuer des opérations dangereuses. Dans le contexte Web3, un seul clic peut entraîner directement le vol du portefeuille, sans aucune institution pouvant intervenir pour récupérer les fonds.

Mécanismes centraux / Concepts clés

Méthodes de déguisement courantes des liens de phishing

1. Usurpation de domaine (Typosquatting) Les attaquants enregistrent des domaines très similaires au domaine officiel, exploitant la négligence visuelle des utilisateurs. Par exemple :

  • onekey.so (officiel) vs onekey.so.phishing-site.com (frauduleux)
  • Utilisation de caractères visuellement similaires : 0 (zéro) à la place de o (lettre), 1 (un) à la place de l (L minuscule)

2. Empoisonnement par publicités de moteurs de recherche Les attaquants achètent des espaces publicitaires sur des moteurs de recherche comme Google ; lorsque les utilisateurs recherchent « télécharger MetaMask » ou « site officiel OneKey », le site frauduleux apparaît en haut des résultats. Les utilisateurs cliquent sur la publicité plutôt que sur les résultats organiques et atterrissent sur le site de phishing.

3. Faux comptes sur les réseaux sociaux Imitation des comptes officiels Twitter/X, Discord, Telegram, publiant des contenus sur les « airdrops », « mises à niveau de sécurité urgentes », « migration de phrase mnémonique », pour inciter les utilisateurs à visiter des sites de phishing.

4. Phishing par e-mail Imitation d'e-mails envoyés par des bourses ou des fournisseurs de portefeuilles, signalant une anomalie sur le compte ou la nécessité d'une vérification, avec un lien redirigant vers une page frauduleuse.

5. Remplacement de QR codes Dans des situations physiques, les attaquants remplacent les QR codes légitimes par des QR codes de phishing ; après le scan, l'utilisateur est directement dirigé vers la page frauduleuse.

Méthodes pour identifier les liens de phishing

Méthode 1 : Vérifiez l'URL complète Examinez attentivement le domaine dans la barre d'adresse du navigateur, en vous concentrant sur :

  • La précision complète du domaine principal (vérifiez l'orthographe et les substitutions de caractères)
  • L'utilisation de HTTPS (mais HTTPS seul ne garantit pas la fiabilité du site)
  • La structure logique du sous-domaine (app.onekey.so est la forme officielle, onekey.so.app.malicious.com est une usurpation)

Méthode 2 : Ne cliquez pas sur les liens dans les e-mails ou messages Prenez l'habitude de saisir manuellement le domaine officiel dans le navigateur, ou d'utiliser des favoris pour accéder aux DApp courantes, en évitant les redirections via des liens dans des e-mails, messages Discord ou publications Twitter.

Méthode 3 : Vérifiez via les canaux officiels Toute opération prétendant nécessiter une « vérification de la phrase mnémonique », une « migration des actifs » ou une « mise à niveau urgente » doit être vérifiée via le site officiel (comme le site officiel OneKey) ou l'App officielle, sans répondre directement à des liens d'origine inconnue.

Méthode 4 : Utilisez des outils de détection du phishing Les principaux navigateurs disposent d'une protection anti-phishing de base ; certaines extensions de sécurité offrent des listes noires supplémentaires de domaines malveillants. Des portefeuilles comme MetaMask intègrent également des services de listes noires tels que PhishFort.

Méthode 5 : Prévisualisez les liens par survol Avant de cliquer sur un lien, survolez-le avec votre souris et regardez l'URL réelle affichée dans la barre d'état du navigateur en bas, confirmant qu'elle correspond au texte affiché.

Cas d'utilisation

Scénario A : Arnaque au airdrop sur Discord Un utilisateur reçoit un message privé dans un groupe Discord d'un projet NFT : « Félicitations, vous avez obtenu une place sur la whitelist, rendez-vous à [lien] dans les 24 heures pour la réclamer. » Le lien mène à une fausse page de mint qui demande de connecter son portefeuille et de signer un contrat malveillant.

Méthode d'identification : les projets officiels n'envoient pas de notifications de whitelist par message privé ; vérifiez directement dans le canal d'annonces officiel du Discord.

Scénario B : Publicité sur moteur de recherche Un utilisateur recherche « Uniswap trading », clique sur le premier résultat de recherche marqué comme publicité, accède à une fausse page et est invité à « autoriser un contrat » après avoir connecté son portefeuille.

Méthode d'identification : les résultats de recherche portant la mention « Publicité » ou « Ad » nécessitent une vigilance accrue ; utilisez des favoris ou saisissez manuellement des URL vérifiées.

Scénario C : Arnaque de « synchronisation » de la phrase mnémonique Un site de phishing affiche une fenêtre pop-up indiquant « Un problème a été détecté sur votre portefeuille, veuillez saisir votre phrase mnémonique pour restaurer l'accès ».

Méthode d'identification : aucun site web n'a jamais besoin de votre phrase mnémonique. La phrase mnémonique est uniquement utilisée en local pour restaurer un portefeuille ; elle ne doit jamais être saisie en ligne.

Accéder à OneKey App

OneKey App intègre plusieurs mécanismes anti-phishing :

  1. Alertes sur les domaines à risque : lors de la connexion à une DApp, détection automatique si le domaine figure dans les listes noires de phishing connues, avec affichage d'un avertissement.
  2. Fonction favoris : enregistrez les adresses de DApp courantes dans l'App pour y accéder via les favoris à chaque visite, évitant les risques liés aux faux liens.
  3. Lisibilité du contenu des transactions : lors de la signature, affichage d'un résumé lisible des opérations pour aider l'utilisateur à juger si le contenu de l'autorisation correspond à ses attentes.

Risques et précautions

  • La phrase mnémonique ne doit jamais être saisie sur une page web : peu importe la ressemblance de la page avec l'original, tout site demandant la phrase mnémonique est du phishing.
  • HTTPS n'égale pas sécurité : les attaquants peuvent obtenir des certificats SSL légitimes pour des sites frauduleux ; HTTPS signifie uniquement que la connexion est chiffrée, non que le site est fiable.
  • L'équipe officielle ne vous demandera jamais votre clé privée : tout compte se présentant comme le support officiel et demandant une clé privée ou une phrase mnémonique est une arnaque.
  • L'urgence est un signal d'alarme : les attaques de phishing créent souvent un sentiment d'urgence comme « réclamation limitée dans le temps » ou « traitement urgent » ; face à ce type de formulation, redoublez de vigilance.

FAQ

Q : J'ai connecté mon portefeuille à un site de phishing, que faire ? R : Utilisez immédiatement Revoke.cash pour vérifier et révoquer toutes les autorisations associées, puis transférez vos actifs vers une nouvelle adresse. Si vous avez signé des transactions, vérifiez l'historique on-chain pour confirmer s'il y a eu des pertes.

Q : Le site de phishing est identique visuellement au site officiel, comment les distinguer ? R : Le seul moyen fiable de distinguer est de vérifier le domaine complet dans la barre d'adresse du navigateur ; l'apparence visuelle de la page ne peut pas être une source de confiance.

Q : Le mobile est-il plus sûr que l'ordinateur de bureau ? R : Pas nécessairement. Les navigateurs mobiles masquent souvent l'URL complète, rendant la vérification du domaine encore plus difficile. Il est recommandé d'utiliser des clients dédiés comme OneKey App sur mobile pour accéder aux DApp.

Q : Comment signaler un site de phishing ? R : Vous pouvez signaler les domaines malveillants à Google Safe Browsing, Cloudflare et autres services, et également informer les équipes de modération dans les canaux officiels de la communauté du projet cible.

Agir maintenant

La capacité à identifier les liens de phishing s'acquiert par une pratique délibérée. Dès maintenant, ajoutez le site officiel OneKey à vos favoris, téléchargez OneKey App et visitez régulièrement Revoke.cash pour auditer l'état des autorisations de votre portefeuille — intégrez les bonnes pratiques de sécurité dans votre routine quotidienne.

Sécurisez votre parcours crypto avec OneKey

View details for Boutique OneKeyBoutique OneKey

Boutique OneKey

Le portefeuille matériel le plus avancé au monde.

View details for Télécharger l'applicationTélécharger l'application

Télécharger l'application

Alertes contre les arnaques. Toutes les pièces supportées.

View details for OneKey SifuOneKey Sifu

OneKey Sifu

Clarté Crypto—À un appel de distance.