Les escrocs utilisent de faux e-mails de violation de données Ledger pour voler des crypto-monnaies

Une nouvelle campagne de phishing ciblerait les utilisateurs du portefeuille matériel Ledger via de faux e-mails de notification de violation de données.

Les chercheurs en sécurité de BleepingComputer ont signalé que des fraudeurs envoient aux utilisateurs des e-mails qui semblent provenir de l'adresse d'assistance officielle de Ledger. Selon eux, le message affirme que les utilisateurs doivent vérifier leurs phrases de récupération en raison d'une faille de sécurité.

L'arnaque aurait commencé le 15 décembre 2024 et utilise l'infrastructure Amazon AWS pour paraître légitime. Ces tentatives de phishing sont conçues pour voler les phrases de récupération de 24 mots des utilisateurs, ce qui donnerait aux attaquants un accès complet aux fonds de crypto-monnaie des victimes.

La campagne semble particulièrement efficace car elle exploite de réelles préoccupations découlant de la précédente violation de données de Ledger en 2020, un épisode au cours duquel les informations des clients ont été réellement exposées.

La campagne de crypto-phishing semble officielle 

Les courriels frauduleux suivent un modèle minutieux conçu pour paraître officiel. Ils arrivent avec la ligne d'objet « Alerte de sécurité : une violation de données peut exposer votre phrase de récupération » et semblent provenir de « Ledger [email protected] ». Cependant, les enquêteurs ont découvert que les fraudeurs utilisent en réalité la plateforme de marketing par courrier électronique SendGrid pour diffuser ces messages.

Lorsque les utilisateurs cliquent sur le bouton « Vérifier ma phrase de récupération » dans ces e-mails, ils sont redirigés vers plusieurs étapes. La première redirection mène à un site Web Amazon AWS à une URL suspecte : product-ledg.s3.us-west-1.amazonaws.com. De là, les utilisateurs sont dirigés vers un site de phishing.

Le site Web de phishing présente des capacités techniques évidentes. Il comprend un système de vérification qui vérifie chaque mot saisi par rapport aux 2 048 mots valides utilisés dans les phrases de récupération de crypto-monnaie. Cette validation en temps réel rend le site plus légitime aux yeux des victimes.

Les attaquants ont également ajouté un autre élément trompeur : le site prétend toujours que la phrase saisie n'est pas valide pour encourager de multiples tentatives et probablement pour vérifier qu'ils ont reçu les bons mots de récupération.

Des versions supplémentaires de cette arnaque ont également été dent . Certains e-mails prétendent être des notifications de mise à jour du micrologiciel, mais ils partagent le même objectif : voler les phrases de récupération des utilisateurs pour accéder à leurs portefeuilles de crypto-monnaie. Chaque mot saisi est immédiatement transmis aux serveurs des attaquants.

Capture d'écran de la fausse page tentant de voler la phrase de récupération des utilisateurs de Legder.   Source : BleepingComputer

Ledger a émis plusieurs rappels de sécurité 

Ledger a depuis émis plusieurs rappels de sécurité en réponse à cette campagne de phishing. La société souligne qu'elle ne demandera jamais de phrases de récupération par courrier électronique, sur des sites Web ou par tout autre moyen.

Certaines recommandations de sécurité partagées depuis lors ont rappelé aux utilisateurs que la seule utilisation légitime d'une phrase de récupération est lors de la configuration initiale d'un nouveau portefeuille matériel ou lors de la récupération de l'accès à un portefeuille existant – et ces actions ne doivent être effectuées que sur l'appareil physique Ledger lui-même. .

Les recommandations de sécurité permettant aux utilisateurs de se protéger leur ont également rappelé de toujours saisir l'adresse Web de Ledger (ledger.com) directement dans le navigateur plutôt que de cliquer sur des liens de courrier électronique.

Deuxièmement, il a été conseillé aux utilisateurs de traiter avec une extrême prudence tout courrier électronique prétendant provenir de Ledger, en particulier ceux mentionnant des violations de données ou nécessitant une action immédiate. Troisièmement, il a été rappelé aux utilisateurs le stockage hors ligne des phrases de récupération, de préférence dans un emplacement physique sécurisé, loin des appareils numériques.

Pour ceux qui ont déjà interagi avec des e-mails ou des sites Web suspects, ils ont conseillé une action immédiate. Les utilisateurs qui ont saisi leur phrase de récupération sur un site Web doivent immédiatement transférer leurs fonds vers un nouveau portefeuille avec une nouvelle phrase de récupération. Le portefeuille d’origine doit être considéré comme compromis et ne doit plus être utilisé pour stocker des cryptomonnaies.

plan de lancement de carrière sur 90 jours