Attaque de phishing pour les détenteurs de Ledger

La première itération de cette attaque de phishing a été mise en lumière par Manuel Dorne, plus connu sous le pseudonyme de Korben, qui a personnellement reçu le SMS frauduleux le 19 octobre 2020 :

Ledger SMS Phishing

Le SMS s'avère au premier abord tout à fait légitime, celui-ci intégrant le nom et prénom du destinataire, que seul Ledger est censé connaître. Le message invite le détenteur d'un portefeuille à se rendre sur un faux site, baptisé « Ledger Report », un nom de domaine qui renvoie vers un autre plutôt suspect « Lėdgėr.com ».

Là est tout la subtilité, le nom de domaine n'utilise pas la lettre « e » comme Ledger, mais plutôt un « ė » point suscrit. Ainsi, le site frauduleux ressemble fortement à une page officielle de Ledger, mais il n'en est rien.

Une fois sur le site, la méthode utilisée par cette arnaque est plutôt malsaine. En effet, cette fausse page indique que plusieurs clients ont été victimes de vols de leurs fonds, et qu'ils doivent par conséquent ajouter une nouvelle phrase de sécurité à leur portefeuille.

Ensuite, si une personne piégée renseigne la phrase de récupération de son portefeuille, les escrocs peuvent librement accéder aux fonds, et les dérober.

⚠️ Ne cliquez pas sur l'un des liens présents sur ce site, et n'y renseignez en aucun cas votre phrase de 24 mots.

Sachez notamment que depuis cette première itération de l'attaque, beaucoup d'autres suivent. Suivant la même méthode, les attaquants créent un nouveau site Web comportant le « Ledger » dans le nom de domaine et essaient de tromper d'autres utilisateurs.

Si vous recevez des SMS et des mails de la part - soi-disant - de Ledger, ne cliquez sur aucun lien qu'ils contiennent et ignorez-les. Dans le moindre doute, contactez le support officiel de Ledger, à cette adresse.

Ledger a rapidement confirmé sur Twitter l'existence de cette arnaque :

« Selon nos informations, certains escrocs entrent en contact avec les utilisateurs du Ledger par le biais de SMS et de mails. Ne donnez jamais les 24 mots de votre phrase de récupération. Ledger ne vous les demandera jamais. »

Une fuite de données en cause ?

Souvenez-vous, en juin dernier, Ledger a été la cible d'un piratage de grande ampleur. Un hacker était parvenu à exploiter une faille de sécurité afin d'accéder à la base de données marketing de la société.

L'attaquant avait ainsi dérobé les adresses mail d'approximativement un million de clients. En outre, pour 9 500 des clients touchés, des informations telles que le nom, le prénom, l'adresse postale, le numéro de téléphone ou les produits commandés ont également été subtilisées.

Le lien peut donc rapidement être fait entre cette campagne de phishing et cette fuite de données, l'attaquant utilisant les informations récupérées de cette fuite pour cibler des détenteurs de portefeuilles Ledger.

Lorsque l'utilisateur RickV3D demande si les arnaqueurs ont obtenu les numéros de téléphone depuis cette fuite de données, Ledger l'a pourtant démenti (dans un tweet publié le 19 octobre 2020, aujourd'hui supprimé) :

« Pour certaines raisons, nous ne pouvons pas expliquer plus en détail jusqu'à présent. Il ne semble pas y avoir de lien avec la fuite de notre base de données e-commerce de juillet. »

Comme nous l'avions évoqué dans notre article portant sur l'incident, le véritable risque de cette fuite de données réside dans les attaques de type phishing. Sachez que Ledger ne vous demandera jamais la moindre information concernant votre portefeuille.

Tout mail ou SMS suspect doit être totalement ignoré, surtout si celui-ci vous demande les 24 mots de votre phrase de récupération. Le seul but des arnaqueurs est de voler vos fonds.

En cas de doute, nous vous conseillons de contacter le support de Ledger avant de prendre la moindre décision sensible impliquant votre portefeuille et sa phrase de récupération.

 

Newsletter 🍞
Recevez un récapitulatif de l'actualité crypto chaque dimanche 👌 Et c'est tout.

A propos de l'auteur : Clément Wardzala

twitter-soothsayerdatatwitter-soothsayerdata

Rédacteur en chef de Cryptoast, je découvre le Bitcoin et la technologie blockchain en 2017. Depuis, je m'efforce de partager un contenu qualitatif pour que le secteur se démocratise auprès de tous.
Tous les articles de Clément Wardzala.

guest
0 Commentaires
Inline Feedbacks
View all comments