Les cybercriminels ont lancé une nouvelle campagne de phishing ciblant les utilisateurs de portefeuille Ledger qui utilise de fausses notifications de violation de données pour voler leur crypto-monnaie.
Ledger fabrique des portefeuilles physiques de crypto-monnaie qui permettent aux utilisateurs de stocker, gérer et vendre des crypto-monnaies telles que le bitcoin. Les fonds stockés dans les portefeuilles de l’entreprise sont sécurisés à l’aide d’une phrase de récupération de 24 mots, bien que ses appareils prennent également en charge les phrases de récupération de 12, 18 ou 24 mots utilisées par d’autres portefeuilles de crypto-monnaie. Comme la phase de récupération d’un portefeuille peut être utilisée pour accéder aux fonds d’un utilisateur, ils doivent être stockés hors ligne et non partagés avec d’autres pour empêcher le vol de crypto-monnaie.
En juillet de cette année, Ledger a subi une violation de données lorsqu’une vulnérabilité dans le site Web de l’entreprise a permis aux cybercriminels d’accéder aux coordonnées des clients. À ce moment-là, la société a envoyé un e-mail aux 9 500 clients concernés avec plus d’informations sur l’attaque.
À partir d’octobre, les cybercriminels ont commencé à envoyer de faux e-mails aux utilisateurs concernant une nouvelle violation de données Ledger. Ces e-mails ont demandé aux utilisateurs touchés par la violation d’installer la dernière version de Ledger Live, en disant:
« Nous avons le regret de vous informer que nous avons été alertés d’une violation de données affectant des données confidentielles appartenant à environ 115 000 de nos clients, qui comprend des informations personnelles, des clés privées et publiques cryptées par code PIN, ainsi que le montant de chaque crypto-monnaie stockée dans le portefeuille. »
Sommaire
Faux notifications de violation de données
Cette nouvelle campagne de phishing est assez intelligente car elle joue sur les craintes des utilisateurs de Ledger qui ont reçu un email il y a quelques mois à peine les informant d’une réelle violation de données. Les faux e-mails de notification de violation de données utilisent également des caractères Punycode pour usurper l’identité du site Web de l’entreprise en utilisant des caractères accentués ou cyrilliques. Cela signifie que les utilisateurs peuvent penser qu’ils visitent ledger.com alors qu’en fait ils cliquent vraiment sur un lien vers https: // ledģėr[.]com.
Après avoir visité le faux site, les utilisateurs sont invités à télécharger l’application Ledger Live pour mobile ou ordinateur de bureau. Les liens vers les versions mobiles de l’application sont authentiques, mais le lien vers la version de bureau télécharge une fausse application Ledger Live qui est conçue pour être presque identique à la version légitime.
Lorsqu’un utilisateur clique sur l’option «Restaurer les appareils à partir de la phrase de récupération» dans la fausse application, il est invité à entrer sa phrase de récupération qui est ensuite renvoyée à un domaine contrôlé par les attaquants. La fausse application demande également aux utilisateurs leur phrase secrète et, les deux en main, les attaquants peuvent accéder pleinement au portefeuille d’un utilisateur et voler toute leur crypto-monnaie.
Pour éviter d’être victime de cette nouvelle campagne de phishing, les utilisateurs de Ledger doivent faire très attention lorsqu’ils vérifient leurs e-mails et éviter de cliquer sur les liens vers Ledger.com dans les e-mails qui se retrouvent dans leurs boîtes de réception. Ledger prévoit de publier une page d’état du phishing la semaine prochaine pour fournir à ses utilisateurs plus d’informations sur ces attaques en cours.
Via BleepingComputer
