Les utilisateurs des portefeuilles Ledger et Trezor seraient la cible d'une nouvelle campagne de vol de cryptomonnaies. Selon les autorités, les escrocs ont intensifié leurs activités, abandonnant leur précédent mode opératoire qui ciblait les utilisateurs de portefeuilles matériels.
D'après les informations recueillies, des criminels envoient désormais aux utilisateurs de ces portefeuilles électroniques des courriers, livrés à leur domicile, se faisant passer pour des expéditeurs de Trezor et Ledger. Le but est de les inciter à communiquer leurs phrases de récupération, qui servent ensuite à commettre le vol. Ces courriers prétendent que les destinataires doivent effectuer des vérifications obligatoires ou des contrôles de transactions pour éviter de perdre l'accès aux fonctionnalités de leur portefeuille. Les escrocs utilisent ce prétexte pour créer un sentiment d'urgence et pousser leurs victimes à scanner des QR codes qui les redirigent vers des sites web malveillants.
Les utilisateurs de Ledger et Trezor sont ciblés par une arnaque aux cryptomonnaies par courrier postal utilisant un code QR
D'après certains témoignages, des utilisateurs de portefeuilles matériels ont confirmé avoir reçu des courriers imprimés sur papier à en-tête imitant des communications officielles des équipes de sécurité et de conformité de Ledger et Trezor. On ignore comment ces utilisateurs sont ciblés, mais les deux entreprises ont déjà subi des violations de données par le passé. Ces violations ont entraîné la compromission d'une quantité considérable d'informations personnelles. La plus récente a eu lieu chez Ledger, où des données d'utilisateurs ont été dérobées le mois dernier.
Dans une lettre adressée aux utilisateurs de Trezor et vérifiée par l'expert en cybersécurité Dmitry Smilyanets, les cybercriminels affirmaient que l'authentification deviendrait obligatoire et incitaient les utilisateurs à effectuer la procédure avant le 15 février, sous peine de perdre certaines fonctionnalités de leurs appareils. La lettre précisait que les utilisateurs devaient scanner le QR code qu'elle contenait et suivre les instructions pour conserver l'accès à la suite Trezor.
« Remarque : Bien que vous ayez peut-être déjà reçu la notification sur votre appareil Trezor et activé la vérification d’authentification, il est nécessaire de terminer cette procédure pour activer pleinement la fonctionnalité et garantir la synchronisation de votre appareil avec toutes les fonctionnalités de la vérification d’authentification », indiquait la lettre de Trezor. Parallèlement, une lettre similaire adressée aux utilisateurs de Ledger a été partagée sur la plateforme de blogs X, affirmant que ces derniers seraient soumis à une vérification obligatoire de leurs transactions, avec la même date limite.
Les fabricants de portefeuilles matériels mettent en garde les utilisateurs
D'après les informations disponibles, scanner le code QR redirige les utilisateurs vers des sites d'hameçonnage créés par des escrocs pour usurper l'identité des domaines officiels de Trezor et Ledger. Actuellement, le de Ledger est hors ligne, tandis que celui de Trezor reste actif. Cependant, le site web de Trezor a été signalé comme site d'hameçonnage. « Les pirates présents sur le site que vous avez tenté de visiter pourraient vous inciter à installer des logiciels ou à divulguer des informations telles que vos mots de passe, numéros de téléphone ou numéros de carte bancaire. Chrome tron de revenir à une navigation sécurisée », indique le site web.
Avant d'être signalé, le site web de Trezor affichait un avertissement indiquant que les utilisateurs devaient effectuer la vérification d'autorisation avant le 15 février pour des raisons de sécurité. Il précisait toutefois que les utilisateurs ayant acheté les portefeuilles Trezor Safe 7, Trezor Safe 3, Trezor Safe 1 et Trezor Safe 5 n'avaient pas besoin d'effectuer cette vérification, car ces portefeuilles étaient déjà préconfigurés. La page d'accueil comportait un bouton « Commencer » qui redirigeait vers un autre avertissement signalant un échec de l'authentification.
Ces avertissements visaient à créer un sentiment d'urgence afin que les victimes poursuivent la procédure sans hésitation. Si elles continuent, la page suivante leur demande de saisir leur phrase de récupération, sous prétexte que cette information leur permettra de s'authentifier et de vérifier la propriété de l'appareil. Or, une fois la phrase de récupération saisie, elle est transmise aux escrocs via une API.
Les phrases de récupération des portefeuilles matériels correspondent aux clés privées qui contrôlent l'accès à ces portefeuilles. Autrement dit, toute personne connaissant ces phrases peut prendre le contrôle total du portefeuille et des fonds qu'il contient. Les fabricants de portefeuilles matériels comme Trezor et Ledger ont toujours mis en garde leurs utilisateurs contre le partage de ces phrases, car ils ne les demandent jamais, quelles que soient les circonstances. Les phrases de récupération doivent être saisies uniquement sur les appareils de portefeuille matériel.
