« Une fois les cryptos transférées, elles ont disparu » : cet investisseur perd plus de 100 000 € à cause d'une arnaque par phishing
Plongez au cœur du témoignage d'une victime d'une arnaque par phishing, un fléau numérique particulièrement virulent dans le domaine des cryptomonnaies et responsable de millions de dollars de pertes. Cet article met en lumière l'histoire d'un investisseur de cryptomonnaies, victime d'une arnaque impliquant son portefeuille Ledger. À travers son expérience, découvrez les méthodes des fraudeurs et les mesures de vigilance indispensables pour se prémunir contre de telles escroqueries.
le 7 janvier 2024 à 10:00.
6 minutes de lecture
Qu’est-ce que le phishing ?
Le « phishing », ou hameçonnage en français, est une forme d'escroquerie qui s'opère via un outil numérique connecté à Internet. Cela consiste à récupérer vos données personnelles soit par le biais de la tromperie, soit en exploitant les failles techniques d'une application, afin de les utiliser de manière malintentionnée, comme pour effectuer des achats non autorisés.
Pour la victime, cela peut se matérialiser par la réception d'un mail, d'un message ou d'un appel provenant d'une personne se faisant passer pour un organisme ou une entreprise qui lui est familier.
Cette personne vous incite à saisir vos informations personnelles sur un site frauduleux ou à régler une somme d'argent qui sera en réalité reçue par l'arnaqueur.
Cette arnaque, courante dans divers contextes tels que le paiement d'impôts ou de factures téléphoniques, est particulièrement fréquente dans le monde numérique des cryptomonnaies.
Elle consiste en une usurpation d'identité par des individus se faisant passer pour une entreprise ou une application. Leur objectif est de persuader les victimes de transférer leurs cryptomonnaies vers un portefeuille malveillant ou de leur extorquer la phrase de récupération de leur portefeuille, aussi connue sous le nom de « seed phrase ».
👉 Pour en savoir plus sur ce que sont les phrases de récupérations
La société d'analyse on-chain Chainalysis estime que plus de 1 milliard de dollars ont été volés en cryptomonnaies par le biais d'arnaques par hameçonnage depuis mai 2021, dont plus de 500 millions de dollars en 2022.
Témoignage d'un investisseur en crypto victime de phishing
Aujourd'hui nous nous intéressons à un cas précis de phishing qui est arrivé à l'un de nos lecteurs, que nous ne nommerons pas par souci de confidentialité.
La victime est un crypto-enthousiaste et a fait le choix de sécuriser son patrimoine en cryptomonnaies avec un hardware wallet du fabricant Ledger, l'un des portefeuilles froids les plus utilisés dans le monde.
L'individu affecté par cette attaque de phishing a tenu à donner du contexte à ces événements. Tout d'abord il rencontrait un problème technique avec son opérateur mobile qui l'empêchait d'avoir un accès à Internet, il ne pouvait donc pas vérifier le contenu de son hardware wallet via son application mobile lorsque le phishing a eu lieu.
De plus, la personne piégée, sans connexion Internet à proximité, devait se déplacer et consacrer du temps à la recherche d'un accès. Lorsqu'elle s'est finalement connectée à l'application Ledger Live, un message d'erreur de synchronisation est apparu, amplifiant son anxiété.
La veille, cette personne avait exceptionnellement utilisé un réseau Wi-Fi public, ce qui a été perçu comme une possible source de compromission de ses appareils.
Tous ces paramètres ajoutés à la pression et manipulation apportée par l'arnaqueur au téléphone, rien ne permettait à la victime de prendre du recul et se rendre compte de ce qui était en train de se passer.
Voici comment la victime a décrit les différentes étapes de l'escroquerie :
« 1 . Réception d’un appel téléphonique d’une personne se présentant comme appartenant au support technique de Ledger. Elle précise que je peux vérifier sur Google le numéro de téléphone appelant, comme étant celui de Ledger. Une fiche entreprise au nom de Ledger Paris s’affiche sur ma recherche internet avec l’adresse de Ledger (la vraie) et un numéro de téléphone, celui avec lequel je viens d’être contacté.
2 . Suite à cette vérification sur Internet, la personne qui m’a initialement contactée me rappelle et m’indique qu’une tentative de connexion sur mon portefeuille Ledger (ou mon appli Ledger Live, je ne sais plus) est en cours depuis l’Allemagne.
3 . La personne me demande si je me suis connecté sur un Wi-Fi public récemment (ce que j’avais exceptionnellement fait la veille pour vérifier des éléments sans aucun rapport avec les cryptos).
4 . La personne m’indique qu’elle va déconnecter la connexion suspecte et m’envoie un SMS de confirmation de cette déconnexion.
5 . Il m’est ensuite demandé si j’avais bien téléchargé l’application Trust Wallet, comme j’y avais été invité lors de l’achat de la Ledger (évidemment, aucun souvenir de ma part de cette demande).
6 . Je réalise alors ce téléchargement qui est censé servir pour effectuer un backup de mes données et sécuriser ma Ledger (ne souriez pas, l’arnaque était évidente !!!).
7 . Une fois Trust Wallet installé, il m’est demandé d’y transférer mes cryptos présentes sur la Ledger (aucun mot de passe ou phrase de récupération ne m’a été demandé).
8 . Mon interlocuteur me précise qu’elles y seront automatiquement rebasculées.
9 . Une fois les cryptos transférées… elles ont disparu… comme par enchantement !!! Je précise également que dans l’absence de discernement que j’ai eu tout au long du processus de l’arnaque, j’ai également transféré mes cryptos présentes sur les exchanges vers ce Trust Wallet (ne souriez pas !!) Je me suis donc rendu compte très vite de la perte de mes fonds… ».
Dans son témoignage, l'individu affecté souligne que même les personnes averties peuvent être victimes de telles attaques.
Il explique que l'arnaque ne réussit que si l'escroc parvient à instaurer un sentiment d'inquiétude chez sa cible, en effet, la peur poussant souvent les humains à agir de manière irrationnelle et les rendant ainsi plus vulnérables à l'escroquerie.
Après avoir pris conscience de la perte de ses fonds, la victime s'est sentie sidérée par la situation, se questionnant sur la manière dont il a été dupé malgré sa connaissance des précautions à prendre contre de telles arnaques.
Le jour suivant, elle a cherché du soutien en prenant contact avec un conseiller juridique, l'équipe de Cryptoast, et Me Chilly, un avocat spécialisé dans les cryptomonnaies du cabinet ORWL, dans l'espoir de trouver des conseils et un soutien juridique supplémentaire.
👉 Découvrez notre liste d'avocats spécialisés dans les cryptomonnaies et la blockchain
Le témoin révèle aussi avoir été la cible d'autres arnaques depuis cet incident et insiste sur l'importance de ne pas s'auto-incriminer, admettant que l'approche des escrocs était habilement conçue et qu'il a subi une manipulation psychologique intense. Il souligne l'importance de faire preuve d'indulgence envers soi-même pour mieux surmonter cette épreuve.
Nous avons également pris contact avec Me Chilly du cabinet ORWL. Il a souligné que Ledger était « responsable des opérations de phishing qui ont visé et continuent de viser leurs clients », qui font suite à 2 incidents de fuite de données survenus en 2020.
Me Chilly a également insisté sur la sophistication des techniques de phishing employées, notant que même des utilisateurs expérimentés ont été victimes de ces arnaques.
Cryptoast Research : Ne gâchez pas ce bull run, entourez vous d'expertsLes bons gestes à adopter pour éviter que ça vous arrive
Afin d'éviter que ce genre d'arnaques vous arrive, plusieurs mesures peuvent être mises en place :
- Méfiez-vous toujours d'une toute prise de contact inhabituelle ;
- Évitez de vous connecter à un réseau Wi-Fi public, si cela est inévitable, il est préférable d'utiliser un VPN afin de vous protéger contre attaques les plus courantes. En l'absence de VPN, évitez toute activité liée aux cryptomonnaies sur le réseau public ;
- Ne cliquez jamais sur un lien venant d'un inconnu ;
- Vérifiez par 2 fois les sources des informations et des individus qui prennent contact avec vous ;
- Utilisez toujours les sites Web officiels des entreprises, pour vous assurer que vous êtes sur le bon URL n'hésitez pas à prendre ceux disponibles sur les profils certifiés des entreprises. ATTENTION : la certification bleue ne suffit plus à prouver une authenticité sur le réseau X ;
- Ne partagez jamais votre code PIN ou phrase de récupération de vos wallets, aucune personne de confiance vous les demandera ;
- Mettez toujours à jour vos appareils, téléphones, ordinateurs, applications, hardware wallets, etc. Ces mises à jour ne sont pas que des améliorations esthétiques, mais aussi de sécurité ;
- Restez informé sur les dernières techniques de phishing ou d'arnaques en suivant différents médias ;
- Lors de la signature de transaction avec votre portefeuille, vérifiez toujours que l'adresse de destination correspond, vérifier le début et la fin ne suffit plus, nous recommandons de vérifier une suite d'une dizaine de caractères choisie aléatoirement au milieu de l'adresse, par exemple avec cette adresse Ethereum : 0xe021e1d8fd38a874de4713b7ce1aaffd646a135265826f6eb3232e05313b2d87
Recevez un récapitulatif de l'actualité crypto chaque lundi par mail 👌
Ce qu’il faut savoir sur les liens d’affiliation. Cette page peut présenter des actifs, des produits ou des services relatifs aux investissements. Certains liens présents dans cet article peuvent être affiliés. Cela signifie que si vous achetez un produit ou que vous vous inscrivez sur un site depuis cet article, notre partenaire nous reverse une commission. Cela nous permet de continuer à vous proposer des contenus originaux et utiles. Il n'y a aucune incidence vous concernant et vous pouvez même obtenir un bonus en utilisant nos liens.
Les investissements dans les crypto-monnaies sont risqués. Cryptoast n'est pas responsable de la qualité des produits ou services présentés sur cette page et ne pourrait être tenu responsable, directement ou indirectement, par tout dommage ou perte causé suite à l'utilisation d'un bien ou service mis en avant dans cet article. Les investissements liés aux crypto-actifs sont risqués par nature, les lecteurs doivent faire leurs propres recherches avant d'entreprendre toute action et n’investir que dans les limites de leurs capacités financières. Cet article ne constitue pas un conseil en investissement.
Recommandations de l'AMF. Il n’existe pas de rendement élevé garanti, un produit présentant un potentiel de rendement élevé implique un risque élevé. Cette prise de risque doit être en adéquation avec votre projet, votre horizon de placement et votre capacité à perdre une partie de cette épargne. N’investissez pas si vous n’êtes pas prêt à perdre tout ou partie de votre capital.
Pour aller plus loin, lisez nos pages Situation Financière, Transparence du Média et Mentions Légales.
D'abord attiré par l'appât du gain, je suis maintenant piégé deep into the rabbit hole. Sans porte de sortie, je n'ai plus qu'à partager mes connaissances et transmettre la passion que j'ai pour l'univers de la blockchain. Je suis également le créateur d'Adopt a Block, un site éducatif dédié à Bitcoin.
Marius Farashi Tasooji
167 articles
Des dizaines de témoignages de cette arnaque ici :
https://www.signal-arnaques.com/scam/view/689443
Je ne comprends pas comment les fonds ont disparu au final ? Si la victime a téléchargé trustwallet et n'a pas partagé de PIN ou seed phrase de ce wallet ses cryptos devraient y être transférées non ? Comment les escrocs ont mit la main sur son TrustWallet ? Si qqun peut me répondre. Merci Ps : je possède un cold wallet ledger et j'ai déjà reçu exactement le même appel. Soit disant connexion suspecte à Berlin la veille. J'ai eu un énorme doute. J'étais partagé entre "c'est sur c'est une arnaque" et "si ça se trouve c'est vraiment un… Read more »
Les 12 ou 24 mots à entrer dans le Trust Wallet ont été fournis par les escrocs
Excellent article. Je me suis fait piéger une fois (heureusement sur une petite somme) en téléchargeant métamask sur un site de téléchargement connu (01 net). A l'époque,ledger ne pouvait pas s'associer à métamask ou peut-être que je ne savais pas. Erreur due au fait que j'étais débutant et aussi fatigué ce jour là. Comme la colère, la fatigue est mauvaise conseillère ! J'ai aussi failli me faire piéger une seconde fois quand j'ai appris que les données clients ledger avaient été piratées. Troublé par ce piratage, j'ai reçu une tentative d'hameçonnage assez astucieuse. J'ai commencé à dévoiler ma phrase quand… Read more »