Selon certaines informations, une nouvelle campagne de phishing ciblerait les utilisateurs de portefeuilles matériels Ledger via de faux e-mails de notification de violation de données.

Des chercheurs en sécurité de BleepingComputer ont signalé que des escrocs envoient aux utilisateurs des e-mails qui semblent provenir de l'adresse d'assistance officielle de Ledger. Selon eux, le message demande aux utilisateurs de vérifier leurs phrases de récupération en raison d'une faille de sécurité.

L'escroquerie aurait débuté le 15 décembre 2024 et utiliserait l'infrastructure d'Amazon AWS pour paraître légitime. Ces tentatives de phishing sont conçues pour voler les phrases de récupération de 24 mots des utilisateurs, ce qui donnerait aux attaquants un accès complet aux fonds en cryptomonnaie des victimes.

La campagne semble particulièrement efficace car elle exploite les véritables préoccupations découlant de la précédente violation de données de Ledger en 2020, un épisode au cours duquel les informations des clients ont été réellement exposées.

Une campagne de crypto-phishing semble officielle

Les e-mails frauduleux suivent un schéma précis conçu pour paraître officiels. Ils arrivent avec pour objet « Alerte de sécurité : une violation de données peut exposer votre phrase de récupération » et semblent provenir de « Ledger support@ledger.com ». Cependant, les enquêteurs ont découvert que les escrocs utilisent en réalité la plateforme de marketing par e-mail SendGrid pour distribuer ces messages.

Lorsque les utilisateurs cliquent sur le bouton « Vérifier ma phrase de récupération » dans ces e-mails, ils sont redirigés vers plusieurs étapes. La première redirection mène vers un site Web Amazon AWS à une URL suspecte : product-ledg.s3.us-west-1.amazonaws.com. De là, les utilisateurs sont redirigés vers un site de phishing.

Le site de phishing présente des capacités techniques évidentes. Il comprend un système de vérification qui compare chaque mot saisi aux 2 048 mots valides utilisés dans les phrases de récupération de cryptomonnaie. Cette validation en temps réel donne au site une apparence plus légitime aux victimes.

Les attaquants ont également ajouté un autre élément trompeur : le site affirme toujours que la phrase saisie est invalide pour encourager plusieurs tentatives et probablement pour vérifier qu'ils ont reçu les bons mots de récupération.

D’autres versions de cette arnaque ont également été identifiées. Certains e-mails prétendent être des notifications de mise à jour du firmware, mais ils partagent le même objectif : voler les phrases de récupération des utilisateurs pour accéder à leurs portefeuilles de cryptomonnaies. Chaque mot saisi est immédiatement transmis aux serveurs des attaquants.

Capture d'écran de la fausse page tentant de voler la phrase de récupération des utilisateurs de Legder. Source : BleepingComputer Ledger a émis plusieurs rappels de sécurité.

Ledger a depuis émis plusieurs rappels de sécurité en réponse à cette campagne de phishing. L'entreprise souligne qu'elle ne demandera jamais de phrases de récupération par e-mail, sur des sites Web ou par tout autre moyen.

Certaines recommandations de sécurité partagées depuis lors ont rappelé aux utilisateurs que la seule utilisation légitime d'une phrase de récupération est lors de la configuration initiale d'un nouveau portefeuille matériel ou lors de la récupération de l'accès à un portefeuille existant - et ces actions ne doivent être effectuées que sur le périphérique Ledger physique lui-même.

Les recommandations de sécurité pour se protéger rappellent également aux utilisateurs de toujours saisir l’adresse Web de Ledger (ledger.com) directement dans le navigateur plutôt que de cliquer sur les liens des e-mails.

Deuxièmement, les utilisateurs ont été invités à traiter avec une extrême prudence tout courrier électronique prétendant provenir de Ledger, en particulier ceux mentionnant des violations de données ou nécessitant une action immédiate. Troisièmement, les utilisateurs ont été rappelés à l'ordre sur le stockage hors ligne des phrases de récupération, de préférence dans un emplacement physique sécurisé, loin des appareils numériques.

Pour ceux qui ont déjà interagi avec des e-mails ou des sites Web suspects, ils ont conseillé une action immédiate. Les utilisateurs qui ont saisi leur phrase de récupération sur un site Web doivent immédiatement transférer leurs fonds vers un nouveau portefeuille avec une nouvelle phrase de récupération. Le portefeuille d'origine doit être considéré comme compromis et ne doit plus être utilisé pour stocker des cryptomonnaies.

Un système étape par étape pour lancer votre carrière Web3 et décrocher des emplois cryptographiques bien rémunérés en 90 jours.