De fausses clés Ledger pour voler vos cryptomonnaies

Dans un billet sur Reddit, un utilisateur d'un portefeuille Ledger explique avoir reçu par la poste un appareil qui ressemble à un Ledger Nano X. Le wallet était emballé dans un paquet portant le logo officiel de Ledger. Le hardware wallet était accompagné d'une lettre prétendument écrite par Pascal Gauthier, PDG de Ledger :

« Pour des raisons de sécurité, nous vous avons envoyé un nouvel appareil afin que vous restiez en sécurité. Il y a un manuel à l'intérieur de la boîte, vous pouvez le lire pour apprendre à configurer votre nouvel appareil. Pour cette raison, nous avons modifié la structure de notre appareil. Nous garantissons maintenant que cette sorte de violation ne se reproduira plus jamais ».

ledger phishing

Le manuel glissé dans le paquet recommande aux usagers de connecter leurs différents portefeuilles de cryptomonnaies en entrant leur phrase de récupération. Les instructions sont truffées de fautes d'orthographe et de syntaxe.

👉 À lire également : comment Ledger combat-il les attaques de phishing visant ses clients ?

Un wallet Ledger modifié avec une clé USB

Ces portefeuilles de remplacement factices ont été conçus pour s'emparer des clés de récupération privées des utilisateurs. Sur Reddit, l'internaute explique avoir ouvert l'appareil reçu avant de faire quelques photos.

ledger faux manuel

 

Les clichés ont ensuite été analysés par Mike Grover, un chercheur en sécurité informatique contacté par Bleeping Computer. D'après l'expert, les escrocs derrière l'opération ont modifié le wallet en ajoutant une clé USB afin d'injecter « des logiciels malveillants ». 

faux ledger

 

Les pirates derrière cette attaque phishing n'ont pas envoyé les faux Ledger au hasard. Les escrocs se sont vraisemblablement basés sur les données personnelles des clients Ledger apparues sur la toile l'an dernier. En décembre 2020, les coordonnées de 272 853 utilisateurs d'une clé Ledger se sont retrouvées en accès libre sur la toile. On y trouvait l’adresse mail, le numéro de téléphone et l'adresse postale du client.

Sans surprise, de nombreux individus malveillants ont cherché à exploiter les données personnelles des clients Ledger pour voler leurs cryptomonnaies. Après la fuite, certains clients ont reçu des menaces ou des tentatives de chantage par mail.

D'ailleurs, une attaque phishing analogue a déjà été rapportée en mai par Ledger. Le modus operandi de l'attaque était sensiblement similaire. Un appareil Ledger accompagné d'une lettre factice de Pascal Gauthier avait été envoyé aux cibles.

« Le Ledger Nano est défectueux et le guide de l'utilisateur est un faux. […] Ledger ne vous demandera jamais de partager votre phrase de récupération de 24 mots », rappelle l'entreprise française sur son site Web.

👉 Lire aussi : Le fabricant de portefeuilles Ledger lève 380 millions de dollars et devient la 15e licorne française

Newsletter 🍞

Recevez un récapitulatif de l'actualité crypto chaque dimanche 👌 Et c'est tout.

A propos de l'auteur : Florian Bayard

twitter-soothsayerdatatwitter-soothsayerdatatwitter-soothsayerdata

Je suis ici pour raconter des choses parfois compliquées avec des mots toujours simples.
Tous les articles de Florian Bayard.

guest
1 Commentaire
Inline Feedbacks
View all comments
Peu importe

Ledger ne vous demandera jamais de partager votre phrase de récupération de 24 mots », rappelle l'entreprise française sur son site Web.