Des groupes criminels ont lancé une nouvelle vague d’escroqueries en cryptomonnaies en envoyant des lettres physiques aux propriétaires de wallets matériels. Les lettres usurpent l’identité de marques de confiance et mettent la pression sur les destinataires pour qu’ils agissent rapidement. Au lieu du phishing par e-mail, les attaquants misent désormais sur le courrier imprimé et les codes QR.
Par conséquent, les victimes peuvent accorder leur confiance au message car il arrive dans une enveloppe formelle. Les chercheurs en sécurité avertissent que cette tactique accroît la crédibilité et réduit la méfiance. La campagne vise principalement les utilisateurs des appareils Trezor et Ledger.
Les lettres prétendent que les utilisateurs doivent effectuer des vérifications de sécurité obligatoires pour éviter de perdre l’accès à leur wallet. Certains avis évoquent une “Vérification d’Authentification”, tandis que d’autres parlent d’une “Vérification de Transaction”.
En plus d’échéances urgentes, les lettres mettent en garde contre des interruptions de l’appareil et des fonctionnalités restreintes. Les codes QR redirigent les victimes vers des sites web imitant étroitement les pages officielles de configuration de wallet.
Les enquêteurs ont identifié des domaines tels que trezor.authentication-check[.]io et ledger.setuptransactioncheck[.]com. Bien qu’un des domaines de phishing ait été désactivé, d’autres restent actifs ou l’étaient récemment. Les fausses pages demandent la phrase de récupération sous prétexte de vérifier la propriété. De plus, les sites affichent des comptes à rebours pour inciter les victimes à agir rapidement.
Les experts en sécurité soupçonnent que de précédentes violations de données aient pu exposer les coordonnées postales des clients. Trezor et Ledger ont tous deux connu par le passé des fuites d’informations de contact utilisateur. Ainsi, les attaquants peuvent s’appuyer sur ces fichiers pour personnaliser les lettres et cibler certains foyers. Cependant, les autorités n’ont pas confirmé la source exacte des listes d’envoi.
Une fois que les victimes atterrissent sur la page de phishing, le site demande une phrase de récupération de 12, 20 ou 24 mots. La page affirme que cette phrase permet la synchronisation de l’appareil et l’activation de fonctionnalités. En réalité, les attaquants capturent la phrase via une API backend. Ils obtiennent ainsi un contrôle total sur le wallet et ses fonds.
Les phrases de récupération constituent les clés maîtresses des wallets de cryptomonnaies. Toute personne les obtenant peut importer le wallet sur un autre appareil. De façon significative, aucune société de wallet matériel ne demande jamais les phrases de récupération via des sites web ou par courrier. Les utilisateurs doivent uniquement saisir la phrase de récupération directement sur l’appareil physique lors de la restauration.
(adsbygoogle = window.adsbygoogle || []).push({});Les spécialistes en cybersécurité exhortent les détenteurs de wallets à ignorer les lettres non sollicitées exigeant une action urgente. De plus, les utilisateurs doivent vérifier tout avis de sécurité via les sites web officiels de l’entreprise.
Les experts recommandent d’ajouter les domaines légitimes en favoris au lieu de scanner des codes QR. En outre, il est conseillé de suivre les annonces des fabricants de wallets concernant les mises à jour ou les fonctions de sécurité.
