Tech

Avez-vous reçu un e-mail ou un texte suspect de Ledger? Nous avons cliqué dessus

Les clients de la société française de gestion de crypto-monnaie Ledger souffrent actuellement de nombreuses campagnes de phishing. Les pirates abusent d’une technique couramment utilisée, le typosquatting, dans le but de vider les portefeuilles de crypto-monnaie.

Fin octobre, les clients de Ledger reçoivent des messages étranges. Que ce soit par SMS ou par e-mail, des hackers tentent de se faire passer pour la société française afin d’extorquer la phrase secrète client.

Composée de 24 mots, cette clé extrêmement robuste est essentielle dans le fonctionnement des portefeuilles physiques de crypto-monnaie comme Ledger’s. Lorsqu’un client professionnel souhaite se connecter à son portefeuille, il doit connecter un appareil Ledger qui ressemble à une clé USB à son ordinateur, puis saisir son code PIN à 4 ou 8 chiffres. C’est un système particulièrement sécurisé, car un voleur de crypto-monnaie devrait à la fois voler l’appareil utilisé pour la connexion et connaître le mot de passe.

La phrase secrète est utile en cas de perte ou de destruction de l’outil de connexion. L’utilisateur pourra alors entrer les 24 mots dans une autre clé physique pour accéder à nouveau à son portefeuille de crypto-monnaie.

Avez-vous reçu un e-mail ou un texte suspect de Ledger?  Nous avons cliqué dessus
Les 24 mots de la phrase ne doivent jamais être saisis ailleurs que dans un portefeuille physique. // La source: Ledger / YouTube

En conséquence, si les pirates réussissent et obtiennent le précieux code à 24 chiffres d’une personne, tout ce qu’ils ont à faire est de le saisir dans l’un de leurs appareils et ils pourront accéder aux portefeuilles Bitcoin, Ethereum. et autres crypto-monnaies de leurs victimes.

Sur les réseaux sociaux, Ledger alerte régulièrement sur Hameçonnage en cours, et répond assez efficacement aux questions de ses clients sur le sujet. La société a publié une série d’articles sur le phishing pour soutenir sa prévention, avec des captures d’écran pour illustrer les différents types d’escroqueries. La startup française a même mis en place une bannière d’avertissement en haut de la page d’accueil de son site officiel pour avertir les clients que des campagnes de phishing sont en cours.

Partout: elle matraque son message de prévention  » ne donnez jamais votre mot de passe de 24 mots. Ledger ne vous le demandera jamais « . La phrase de passe ne doit être saisie que sur l’un des appareils de l’entreprise ou sur celui de l’un de ses concurrents. Jamais sur un site.

Votre grand livre serait défectueux et vos crypto-monnaies seraient en danger

Parmi les nombreux faux sites Ledger en circulation, Cyberguerre n’en a trouvé qu’un qui soit encore actif, preuve de la réactivité de l’entreprise. Tous les différents messages d’escroquerie sont basés sur le même scénario, dans un anglais parfait (que nous avons traduit): Ledger avertirait ses clients d’un problème de sécurité, qui devrait être rapidement résolu en se connectant au site.

READ  Vue d'ensemble ‹ Caméra sous-marine sans fil sans pile - MIT Media Lab

« Cher [vrai prénom et nom], veuillez visiter [lien vers un faux site], et mettez à jour le firmware de Ledger, car le précédent a un bug qui peut vous faire perdre des crypto-actifs L’une des revendications des messages texte. Le micrologiciel est une couche de logiciel responsable du fonctionnement en profondeur d’un appareil. En 2015, un jeune hacker avait en fait vulnérabilités trouvées dans Ledger’s.

Voici un exemple de message texte de phishing, dont il existe de nombreuses versions.

Par mail, les hackers se sont développés plus longuement, et ont appliqué pour reproduire la charte graphique de Ledger:  » Cher client, nous avons le regret de vous informer que ledger a une violation de données affectant environ 86000 de nos clients et que l’adresse [adresse email de la victime] associé à votre portefeuille est l’un d’entre eux. Plus précisément, le [date plus ou moins récente selon les versions du message], nos équipes d’experts ont découvert que plusieurs serveurs administratifs Ledger Live ont été infectés par des logiciels malveillants. « Après de plus amples explications, il conclut: » En raison des circonstances, vous devez considérer que vos crypto-actifs risquent d’être volés. Si vous recevez cet e-mail, c’est que vous avez été affecté par la vulnérabilité. Pour protéger vos crypto-actifs, téléchargez la dernière version de Ledger Live et suivez les instructions pour créer un nouveau code PIN pour votre portefeuille. »

Comment les pirates ont-ils ciblé?

Ces scénarios se nourrissent des récents problèmes de Ledger. Cet été, l’entreprise a été piratée dans un fichier utilisé par ses services clients et marketing. Dans un communiqué de presse, elle a donné des détails sur l’incident et précisé son ampleur: un intrus a eu accès à un million d’adresses e-mail de clients, ainsi qu’au nom, adresse, numéro de téléphone et commandes de 9 500 d ‘entre eux. Elle affirme les avoir contactés par e-mail. Heureusement, cette fuite n’avait aucune conséquence sur les comptes, mais Ledger prévenait déjà. si vous recevez un e-mail qui semble provenir de Ledger et vous demande vos 24 mots, vous devez le considérer comme une tentative de phishing ».

Cette fuite, si elle est vendue, peut avoir alimenté les récentes campagnes de phishing. Mais rien n’indique que les pirates n’ont pas utilisé d’autres bases de données pour faire leur ciblage: par exemple, les criminels pourraient contacter des adresses à partir d’un forum de passionnés de crypto-fuites, en supposant qu’ils sont très susceptibles d’être des clients de Ledger.

READ  Le brouillard entoure toujours les "développements" contre Atanasov dans le domaine du renseignement militaire

Parmi les cibles du phishing, certaines s’étonnent d’être contactées sur leur numéro réel et leur vrai nom. La précision de ce ciblage n’est pas forcément synonyme de fuite de Ledger, loin de là. Les organisations cybercriminelles récupèrent des données plusieurs fuites et les croiser entre eux: par exemple, une première fuite peut indiquer l’adresse e-mail et le fait que la personne est cliente du grand livre, tandis qu’une seconde liera la même adresse e-mail à une identité et un numéro de téléphone.

Typosquatting, la principale ficelle pirate

L’une des clés pour contrecarrer ces tentatives de phishing est de prêter une attention particulière aux noms de domaine de messagerie. Cette précaution permet d’éviter le « typosquatting » une technique qui consiste à tromper l’utilisateur avec un nom très similaire.

Le site officiel de Ledger est ledger.com, mais dans les messages texte, les pirates se réfèrent à des adresses similaires comme ledger[.]média ou grand livre[.]légal. Cette différence de nom de domaine est l’un des principaux signes de l’astuce. Dans tous les cas, en cas de doute, le meilleur moyen est de passer par un moteur de recherche comme Google pour trouver le site officiel de l’entreprise.

Dans les e-mails de phishing que nous avons vus, la même attention portée au nom de l’expéditeur évite le piège. Celui qui semble avoir le mieux fonctionné est legder[.]com, car il est particulièrement proche de celui du site réel. Dans l’urgence provoquée par des inquiétudes concernant la perte de crypto-actifs, un utilisateur peut ne pas détecter l’inversion des lettres «g» et «d» et tomber dans le piège.

Nous avons nous-mêmes pris une piqûre de phishing et cliqué sur l’un des liens frauduleux. Non seulement les pirates ont créé une page destinée au vol de la phrase secrète, mais ils ont également créé une réplique fidèle du site Ledger.

Les pirates utilisent une copie assez fidèle du site de Ledger. // Source: capture d’écran Numerama

L’URL semble afficher « ledger.com », l’adresse du site officiel. Sauf qu’à y regarder de plus près, le premier «e» de l’adresse est un «e point abonné» un graphème utilisé dans certaines langues nigérianes et en vietnamien. Nous ne sommes donc pas sur le site officiel, mais sur un site pirate. Pour rendre ce « e » spécial, les pirates utilisent un code ASCII. Quand on regarde de plus près le certificat d’adresse, on voit le vrai nom de domaine de la page: https: // xn – ldger-n51b[.]com /, qui n’a rien à voir avec celui que nous voyons. C’est ce nom que les pirates ont déposé.

READ  N'est-il pas temps de parler des émissions de méthane ?

Un autre détail peut tromper la visite: le « https » qui affiche la connexion comme étant sécurisée sur certains navigateurs. Mais sachez que ce certificat n’est plus une garantie, car les pirates peuvent l’obtenir gratuitement, en trompant l’un des organismes émetteurs.

Vous devez regarder attentivement l’URL pour voir le point sous le premier «e» dans Ledger. // Source: capture d’écran Numerama
C’est en regardant de plus près le certificat que l’on découvre l’astuce. // Source: capture d’écran Numerama

Fausse connexion, vrai vol

La page sur laquelle nous atterrissons à partir de l’e-mail de phishing nous demande de connecter notre appareil Ledger. Nous n’en avons pas, mais après une dizaine de secondes d’attente, la page simule une connexion avec l’appareil. Les hackers ont vraiment pris en charge l’arnaque: un écran progressif nous informe que nous allons entrer dans un espace sécurisé, où les communications sont cryptées.

C’est à ce moment que le site nous présente un message d’erreur: la connexion avec l’appareil n’aurait pas fonctionné et nous devrions récupérer nos portefeuilles grâce à la phrase de passe. Le site suggère que nous l’écrivions mot par mot, soi-disant pour plus de sécurité. Évidemment, ce sont des informations qu’ils collectent …

Le site simule une connexion via les touches de Ledger, puis affiche un message d’erreur. // Source: capture d’écran Numerama

Comme il est courant dans le phishing, une fois que nous avons terminé de remplir nos informations, nous sommes redirigés vers le vrai site Ledger, laissant le doute sur une erreur ou un bug. Si vous avez franchi cette étape, contactez Ledger dès que possible, les pirates ont désormais suffisamment d’informations pour vider vos portefeuilles.

Crédit photo de celui-ci: Assemblage Numerama

À propos d’ExpressVPN

ExpressVPN, annonceur exclusif de Cyber ​​guerre, est un fournisseur VPN premium. Il dispose de milliers de serveurs sécurisés répartis dans le monde entier, ce qui lui permet de déplacer son adresse IP et de contourner les blocages géographiques. ExpressVPN ne conserve aucun enregistrement de l’activité des utilisateurs. Son application VPN, disponible sur ordinateur, mobile et routeur, est l’une des plus avancées du marché.

Plus d’informations sur La solution VPN d’ExpressVPN

Partager sur les réseaux sociaux

Cunégonde Lestrange

"Gourou de Twitter. Écrivain en herbe. Fauteur de troubles typique. Entrepreneur. Étudiant hipster."

Articles similaires

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Bouton retour en haut de la page
Fermer
Fermer