Les clients de la société française de gestion de crypto-monnaie Ledger souffrent actuellement de nombreuses campagnes de phishing. Les pirates abusent d’une technique couramment utilisée, le typosquatting, dans le but de vider les portefeuilles de crypto-monnaie.
Fin octobre, les clients de Ledger reçoivent des messages étranges. Que ce soit par SMS ou par e-mail, des hackers tentent de se faire passer pour la société française afin d’extorquer la phrase secrète client.
Composée de 24 mots, cette clé extrêmement robuste est essentielle dans le fonctionnement des portefeuilles physiques de crypto-monnaie comme Ledger’s. Lorsqu’un client professionnel souhaite se connecter à son portefeuille, il doit connecter un appareil Ledger qui ressemble à une clé USB à son ordinateur, puis saisir son code PIN à 4 ou 8 chiffres. C’est un système particulièrement sécurisé, car un voleur de crypto-monnaie devrait à la fois voler l’appareil utilisé pour la connexion et connaître le mot de passe.
La phrase secrète est utile en cas de perte ou de destruction de l’outil de connexion. L’utilisateur pourra alors entrer les 24 mots dans une autre clé physique pour accéder à nouveau à son portefeuille de crypto-monnaie.
En conséquence, si les pirates réussissent et obtiennent le précieux code à 24 chiffres d’une personne, tout ce qu’ils ont à faire est de le saisir dans l’un de leurs appareils et ils pourront accéder aux portefeuilles Bitcoin, Ethereum. et autres crypto-monnaies de leurs victimes.
Sur les réseaux sociaux, Ledger alerte régulièrement sur Hameçonnage en cours, et répond assez efficacement aux questions de ses clients sur le sujet. La société a publié une série d’articles sur le phishing pour soutenir sa prévention, avec des captures d’écran pour illustrer les différents types d’escroqueries. La startup française a même mis en place une bannière d’avertissement en haut de la page d’accueil de son site officiel pour avertir les clients que des campagnes de phishing sont en cours.
Partout: elle matraque son message de prévention » ne donnez jamais votre mot de passe de 24 mots. Ledger ne vous le demandera jamais « . La phrase de passe ne doit être saisie que sur l’un des appareils de l’entreprise ou sur celui de l’un de ses concurrents. Jamais sur un site.
Votre grand livre serait défectueux et vos crypto-monnaies seraient en danger
Parmi les nombreux faux sites Ledger en circulation, Cyberguerre n’en a trouvé qu’un qui soit encore actif, preuve de la réactivité de l’entreprise. Tous les différents messages d’escroquerie sont basés sur le même scénario, dans un anglais parfait (que nous avons traduit): Ledger avertirait ses clients d’un problème de sécurité, qui devrait être rapidement résolu en se connectant au site.
« Cher [vrai prénom et nom], veuillez visiter [lien vers un faux site], et mettez à jour le firmware de Ledger, car le précédent a un bug qui peut vous faire perdre des crypto-actifs L’une des revendications des messages texte. Le micrologiciel est une couche de logiciel responsable du fonctionnement en profondeur d’un appareil. En 2015, un jeune hacker avait en fait vulnérabilités trouvées dans Ledger’s.
Par mail, les hackers se sont développés plus longuement, et ont appliqué pour reproduire la charte graphique de Ledger: » Cher client, nous avons le regret de vous informer que ledger a une violation de données affectant environ 86000 de nos clients et que l’adresse [adresse email de la victime] associé à votre portefeuille est l’un d’entre eux. Plus précisément, le [date plus ou moins récente selon les versions du message], nos équipes d’experts ont découvert que plusieurs serveurs administratifs Ledger Live ont été infectés par des logiciels malveillants. « Après de plus amples explications, il conclut: » En raison des circonstances, vous devez considérer que vos crypto-actifs risquent d’être volés. Si vous recevez cet e-mail, c’est que vous avez été affecté par la vulnérabilité. Pour protéger vos crypto-actifs, téléchargez la dernière version de Ledger Live et suivez les instructions pour créer un nouveau code PIN pour votre portefeuille. »
Comment les pirates ont-ils ciblé?
Ces scénarios se nourrissent des récents problèmes de Ledger. Cet été, l’entreprise a été piratée dans un fichier utilisé par ses services clients et marketing. Dans un communiqué de presse, elle a donné des détails sur l’incident et précisé son ampleur: un intrus a eu accès à un million d’adresses e-mail de clients, ainsi qu’au nom, adresse, numéro de téléphone et commandes de 9 500 d ‘entre eux. Elle affirme les avoir contactés par e-mail. Heureusement, cette fuite n’avait aucune conséquence sur les comptes, mais Ledger prévenait déjà. si vous recevez un e-mail qui semble provenir de Ledger et vous demande vos 24 mots, vous devez le considérer comme une tentative de phishing ».
Cette fuite, si elle est vendue, peut avoir alimenté les récentes campagnes de phishing. Mais rien n’indique que les pirates n’ont pas utilisé d’autres bases de données pour faire leur ciblage: par exemple, les criminels pourraient contacter des adresses à partir d’un forum de passionnés de crypto-fuites, en supposant qu’ils sont très susceptibles d’être des clients de Ledger.
Parmi les cibles du phishing, certaines s’étonnent d’être contactées sur leur numéro réel et leur vrai nom. La précision de ce ciblage n’est pas forcément synonyme de fuite de Ledger, loin de là. Les organisations cybercriminelles récupèrent des données plusieurs fuites et les croiser entre eux: par exemple, une première fuite peut indiquer l’adresse e-mail et le fait que la personne est cliente du grand livre, tandis qu’une seconde liera la même adresse e-mail à une identité et un numéro de téléphone.
Typosquatting, la principale ficelle pirate
L’une des clés pour contrecarrer ces tentatives de phishing est de prêter une attention particulière aux noms de domaine de messagerie. Cette précaution permet d’éviter le « typosquatting » une technique qui consiste à tromper l’utilisateur avec un nom très similaire.
Le site officiel de Ledger est ledger.com, mais dans les messages texte, les pirates se réfèrent à des adresses similaires comme ledger[.]média ou grand livre[.]légal. Cette différence de nom de domaine est l’un des principaux signes de l’astuce. Dans tous les cas, en cas de doute, le meilleur moyen est de passer par un moteur de recherche comme Google pour trouver le site officiel de l’entreprise.
Dans les e-mails de phishing que nous avons vus, la même attention portée au nom de l’expéditeur évite le piège. Celui qui semble avoir le mieux fonctionné est legder[.]com, car il est particulièrement proche de celui du site réel. Dans l’urgence provoquée par des inquiétudes concernant la perte de crypto-actifs, un utilisateur peut ne pas détecter l’inversion des lettres «g» et «d» et tomber dans le piège.
Nous avons nous-mêmes pris une piqûre de phishing et cliqué sur l’un des liens frauduleux. Non seulement les pirates ont créé une page destinée au vol de la phrase secrète, mais ils ont également créé une réplique fidèle du site Ledger.
L’URL semble afficher « ledger.com », l’adresse du site officiel. Sauf qu’à y regarder de plus près, le premier «e» de l’adresse est un «e point abonné» un graphème utilisé dans certaines langues nigérianes et en vietnamien. Nous ne sommes donc pas sur le site officiel, mais sur un site pirate. Pour rendre ce « e » spécial, les pirates utilisent un code ASCII. Quand on regarde de plus près le certificat d’adresse, on voit le vrai nom de domaine de la page: https: // xn – ldger-n51b[.]com /, qui n’a rien à voir avec celui que nous voyons. C’est ce nom que les pirates ont déposé.
Un autre détail peut tromper la visite: le « https » qui affiche la connexion comme étant sécurisée sur certains navigateurs. Mais sachez que ce certificat n’est plus une garantie, car les pirates peuvent l’obtenir gratuitement, en trompant l’un des organismes émetteurs.
Fausse connexion, vrai vol
La page sur laquelle nous atterrissons à partir de l’e-mail de phishing nous demande de connecter notre appareil Ledger. Nous n’en avons pas, mais après une dizaine de secondes d’attente, la page simule une connexion avec l’appareil. Les hackers ont vraiment pris en charge l’arnaque: un écran progressif nous informe que nous allons entrer dans un espace sécurisé, où les communications sont cryptées.
C’est à ce moment que le site nous présente un message d’erreur: la connexion avec l’appareil n’aurait pas fonctionné et nous devrions récupérer nos portefeuilles grâce à la phrase de passe. Le site suggère que nous l’écrivions mot par mot, soi-disant pour plus de sécurité. Évidemment, ce sont des informations qu’ils collectent …
Comme il est courant dans le phishing, une fois que nous avons terminé de remplir nos informations, nous sommes redirigés vers le vrai site Ledger, laissant le doute sur une erreur ou un bug. Si vous avez franchi cette étape, contactez Ledger dès que possible, les pirates ont désormais suffisamment d’informations pour vider vos portefeuilles.
