Une nouvelle arnaque commence à toucher des clients de Ledger. La startup française spécialisée dans le stockage de cryptomonnaies connaît de nouveaux déboires à la suite de la fuite de données révélée au grand public et accessible gratuitement au mois de décembre 2020. Cette fois-ci, la tentative de phishing est particulièrement efficace. Voici pourquoi.
Un colis frauduleux
La nouvelle arnaque pointée du doigt cette semaine s’est appuyée sur les adresses postales des clients Ledger (comme quoi, une fuite de données n’a pas que des conséquences en ligne…). Grâce à un client victime qui a raconté sa mésaventure sur le forum Reddit, Ledger a découvert que certains de ses clients avaient reçu des colis estampillés du logo de la startup et comportant des nouvelles clés Nano, le produit de stockage de crypto.
Le faux appareil est présenté dans un emballage d’apparence authentique avec le logo Ledger.
Accompagné du produit, une lettre. Et plus précisément, une lettre signée par le CEO de Ledger, Pascal Gauthier. De quoi certifier de l’authenticité du mystérieux colis, se faisant passer pour un envoi de sécurité. Il était marqué : « Pour des raisons de sécurité, nous vous avons envoyé un nouvel appareil, vous devez passer à un nouvel appareil pour rester en sécurité. Il y a un manuel à l’intérieur de votre nouvelle boîte que vous pouvez lire pour apprendre à configurer votre nouvel appareil ».
Derrière l’envoi, une clé totalement dangereuse. Ledger n’a pas tardé une minute à publier un message d’alerte : « Le faux guide d’utilisation dans la boîte du Nano demande à l’utilisateur de connecter l’appareil à un ordinateur. Pour initialiser l’appareil, il est ensuite demandé à l’utilisateur d’entrer ses 24 mots dans une fausse application Ledger Live. Il s’agit d’une arnaque. Ne connectez pas l’appareil à votre ordinateur et ne partagez jamais vos 24 mots. Ledger ne vous demandera jamais de partager votre phrase de récupération de 24 mots. »
Une arnaque efficace
En d’autres termes, la technique utilisée ici suit la même logique que l’hameçonnage sur le web (dernièrement, les clients Orange ont reçu ce dangereux SMS) mais plutôt que de rester sur la voie du numérique, les malveillants ont envoyé un vrai colis. Grâce aux informations sur les clients qui ont fuité, ces derniers pouvaient être sûr d’adresser la nouvelle carte Nano de Ledger à des clients de la marque, et qui plus est des clients qui possèdent des cryptomonnaies (parfois beaucoup).
En entrant leur code secret constitué de 24 mots sur la fausse application, les clients livraient tout simplement leur « compte » de cryptomonnaie sécurisé aux personnes malveillantes prêtes à vider leurs économies. Ledger confirmait à Capital qu’il n’enverrait jamais de nouveau produit sans une demande formelle du client. Aussi, la startup n’en ferait jamais un tel « cadeau ».
📍 Pour ne manquer aucune actualité de Presse-citron, suivez-nous sur Google Actualités et WhatsApp.
Au vu de l’article, je crois que l’auteur de l’article s’est fait avoir… 😂😂😂 Non ?
Si on retire la puce frauduleuse, est-ce que l’appareil peut être utilisé comme si de rien était ?