Suite à une fuite de données chez le fabricant Ledger, des fraudeurs envoient aux victimes de faux portefeuilles matériels afin d’obtenir leurs crypto-monnaies.
Les portefeuilles matériels sont censés protéger particulièrement bien les monnaies numériques de leurs propriétaires – mais les fraudeurs tentent toujours de mettre la main dessus grâce à une astuce. Après une fuite de données survenue l’année dernière chez le fabricant de portefeuilles matériels Ledger, les escrocs envoient un supposé appareil de remplacement qui cible les crypto-monnaies des personnes concernées.
L’appareil a été envoyé dans un emballage d’apparence authentique mais avec une lettre mal écrite, a rapporté une personne affectée sur Reddit. La lettre cite la fuite de données de l’année dernière et la publication de données de clients sur un forum de pirates informatiques en décembre 2020 comme raison de l’échange. Le colis comprenait également un paquet Ledger Nano-X emballé sous film rétractable qui contenait ce qui semblait être un véritable dispositif. Suspectée par les nombreuses erreurs de la lettre de motivation, la personne concernée a ouvert l’appareil et a posté des photos sur Reddit. Les modifications sont clairement visibles sur les photos. Un composant a été soudé au port USB.
Le fabricant Ledger met en garde contre les faux dispositifs
« Il semble s’agir d’une simple clé USB reliée au Ledger dans le but de diffuser une sorte de logiciel malveillant », a déclaré Mike Grover, chercheur en sécurité, à propos des photos pour le magazine en ligne Bleepingcomputer. « Tous les composants sont de l’autre côté, je ne peux donc pas confirmer s’il s’agit UNIQUEMENT d’un périphérique de stockage, mais […] à en juger par la soudure très inexpérimentée, il s’agit probablement d’une mini clé USB du commerce qui a été retirée de son boîtier. »
Les instructions incluses dans le paquet demandent aux utilisateurs de brancher le grand livre à leur ordinateur, d’ouvrir un lecteur qui apparaît ensuite et d’y exécuter le logiciel. Là, les utilisateurs sont invités à saisir la phrase de récupération de leur cryptomonnaie afin qu’elle puisse être transférée vers le nouveau porte-monnaie matériel Ledger. Cependant, cette information est envoyée aux escrocs, qui peuvent alors prendre le contrôle du cryptowallet avec la phrase de récupération.
Ledger est conscient de l’escroquerie et a mis en garde contre les faux portefeuilles Ledger ainsi que les lettres jointes depuis mai. « Ne connectez pas l’appareil à votre ordinateur et ne partagez jamais vos 24 mots. Ledger ne vous demandera jamais de partager votre phrase de récupération de 24 mots », écrit Ledger. On ne sait pas combien de personnes ont reçu les appareils et les lettres correspondants.
