Une campagne de phishing cible les détenteurs de portefeuilles Ledger
Les détenteurs de portefeuilles Ledger sont la cible d'une nouvelle campagne de phishing par SMS et par mail. Les arnaqueurs renvoient sur un faux site reprenant l'image de Ledger pour dérober les fonds de leurs cibles.
Attaque de phishing pour les détenteurs de Ledger
La première itération de cette attaque de phishing a été mise en lumière par Manuel Dorne, plus connu sous le pseudonyme de Korben, qui a personnellement reçu le SMS frauduleux le 19 octobre 2020 :
Le SMS s'avère au premier abord tout à fait légitime, celui-ci intégrant le nom et prénom du destinataire, que seul Ledger est censé connaître. Le message invite le détenteur d'un portefeuille à se rendre sur un faux site, baptisé « Ledger Report », un nom de domaine qui renvoie vers un autre plutôt suspect « Lėdgėr.com ».
Là est tout la subtilité, le nom de domaine n'utilise pas la lettre « e » comme Ledger, mais plutôt un « ė » point suscrit. Ainsi, le site frauduleux ressemble fortement à une page officielle de Ledger, mais il n'en est rien.
Une fois sur le site, la méthode utilisée par cette arnaque est plutôt malsaine. En effet, cette fausse page indique que plusieurs clients ont été victimes de vols de leurs fonds, et qu'ils doivent par conséquent ajouter une nouvelle phrase de sécurité à leur portefeuille.
Ensuite, si une personne piégée renseigne la phrase de récupération de son portefeuille, les escrocs peuvent librement accéder aux fonds, et les dérober.
⚠️ Ne cliquez pas sur l'un des liens présents sur ce site, et n'y renseignez en aucun cas votre phrase de 24 mots.
Sachez notamment que depuis cette première itération de l'attaque, beaucoup d'autres suivent. Suivant la même méthode, les attaquants créent un nouveau site Web comportant le « Ledger » dans le nom de domaine et essaient de tromper d'autres utilisateurs.
Si vous recevez des SMS et des mails de la part - soi-disant - de Ledger, ne cliquez sur aucun lien qu'ils contiennent et ignorez-les. Dans le moindre doute, contactez le support officiel de Ledger, à cette adresse.
Ledger a rapidement confirmé sur Twitter l'existence de cette arnaque :
🚨 SCAM ALERT 🚨
According to our information, some scammers are getting in touch with Ledger users through text messages and emails.
Never give the 24 words of your recovery seed. Ledger will never ask for them.
— Ledger (@Ledger) October 19, 2020
« Selon nos informations, certains escrocs entrent en contact avec les utilisateurs du Ledger par le biais de SMS et de mails. Ne donnez jamais les 24 mots de votre phrase de récupération. Ledger ne vous les demandera jamais. »
Une fuite de données en cause ?
Souvenez-vous, en juin dernier, Ledger a été la cible d'un piratage de grande ampleur. Un hacker était parvenu à exploiter une faille de sécurité afin d'accéder à la base de données marketing de la société.
L'attaquant avait ainsi dérobé les adresses mail d'approximativement un million de clients. En outre, pour 9 500 des clients touchés, des informations telles que le nom, le prénom, l'adresse postale, le numéro de téléphone ou les produits commandés ont également été subtilisées.
Le lien peut donc rapidement être fait entre cette campagne de phishing et cette fuite de données, l'attaquant utilisant les informations récupérées de cette fuite pour cibler des détenteurs de portefeuilles Ledger.
Lorsque l'utilisateur RickV3D demande si les arnaqueurs ont obtenu les numéros de téléphone depuis cette fuite de données, Ledger l'a pourtant démenti (dans un tweet publié le 19 octobre 2020, aujourd'hui supprimé) :
« Pour certaines raisons, nous ne pouvons pas expliquer plus en détail jusqu'à présent. Il ne semble pas y avoir de lien avec la fuite de notre base de données e-commerce de juillet. »
Comme nous l'avions évoqué dans notre article portant sur l'incident, le véritable risque de cette fuite de données réside dans les attaques de type phishing. Sachez que Ledger ne vous demandera jamais la moindre information concernant votre portefeuille.
Tout mail ou SMS suspect doit être totalement ignoré, surtout si celui-ci vous demande les 24 mots de votre phrase de récupération. Le seul but des arnaqueurs est de voler vos fonds.
En cas de doute, nous vous conseillons de contacter le support de Ledger avant de prendre la moindre décision sensible impliquant votre portefeuille et sa phrase de récupération.
Recevez un récapitulatif de l'actualité crypto chaque jour par mail 👌
Bonjour, J'ai reçu aussi une semaine après avoir acheté le Nano S et transféré mes chryptos, le 1° e-mail me demandant de le réinitialiser. Je l'ai fait avec lédger Live authentique, mais sans supprimer les comptes:BTC, ETH, EOS. j'ai recréé un PIN,une phrase et de nouveau mes comptes avec EOS et Fairy Wallet. Je ne peux plus accéder à mes pièces. Impossible de correspondre avec Lèdger; à par les 24 mots à ne pas donner et le support par téléphone, c'est toute leur aide! Est ce que je pourrai supprimer ma nouvelle configuration pour revenir à ma 1° sans mettre… Read more »
Bonsoir, vous avez donc reçu un mail qui vous indiquait devoir télécharger une autre version de Ledger Live et de recréer un PIN + phrase ou alors de leur communiquer ? C'est effectivement une arnaque, navré de vous l'apprendre. Le support ne vous répond pas ? Vous n'arrivez plus à accéder à votre portefeuille et donc à vos comptes ?
Bonjour Robin, C'est exact c’était une arnaque. J’étais inexpérimenté, mais j'ai réécrit la nouvelle configuration avec" l’authentique Ledger Live". Je ne savais pas qu'il fallait annuler au préalable mes comptes. Aussi mes cryptos ont étés enregistrées avec les clés de la 1° initialisation et sont toujours dans mon Nano S, mais je ne peux les retirer puisque la nouvelle configuration a créé d'autres clés. Le support ne me répond pas. C'est pourquoi je vous demande, si le fait de réinstaller la 1° configuration ne me permettrait pas de retrouver mes 1° clés? Mais est-ce sans danger pour les cryptos? Merci… Read more »
J'ai eu déjà plusieurs tentatives de ce type. Apparemment mon adresse mail a bien été enregistrée comme client chez ledger. Après avoir reçu il y a environ un mois un mail de ce type, j'ai suivi la première instruction de téléchargement "mise à jour de ledger live". J'avoue être tombé dans le piège, étant pourtant très méfiant et relativement connaisseur en informatique et internet. Après avoir téléchargé cette fausse appli ledger live, le portefeuille n'apparaissait plus et me demandait cette fameuse phrase. Heureusement, je savais que cette phrase secrète ne peut être écrite que sur le ledger (S ouX) et… Read more »