Des Ledger trafiqués et totalement vérolés – Attention à cette nouvelle arnaque qui veut voler vos bitcoins !

Un cadeau empoisonné – Depuis la révélation du piratage massif de la base de données clients du fabricant de hardware wallets Ledger, ces données se sont retrouvées à disposition de tout hacker/arnaqueur en herbe sur le web. Certains parmi eux sont très inventifs et n’hésitent pas à passer du temps à mettre au point leur arnaque, comme nous allons le voir.

Un colis surprise avec un vrai faux Ledger piégé

C’est il y a presque un an, en juillet 2020, que le fabricant de hardware wallets Ledger a révélé la fuite massive de sa base de données de 272 853 clients. Pour les plus malchanceux d’entre eux qui avaient passé commande et donné leur adresse postale, cette dernière s’est retrouvée placardée sur le Net. Il n’en fallait pas plus pour que certains imaginent une arnaque au hameçonnage (phishing) des plus diabolique et sournoise.

Comme le rapporte notamment Bleeping Computer, des escrocs ont eu l’idée d’envoyer des wallets Ledger aux clients dont les coordonnées ont fuité, pour tenter de leur voler leurs précieux bitcoins et cryptos.

Comme le montrent les images dans ce tweet de Grégory Raymond, les arnaqueurs ont poussé le vice jusqu’à envoyer – dans un package au logo de Ledger – une lettre d’excuses, faussement signée du nom du CEO de Ledger, Pascal Gauthier.

Attention donc, si vous étiez concernés par cette négligence de Ledger, ne tombez pas dans le panneau si vous recevez un drôle de colis suspect.

Un Ledger trafiqué avec des instructions pour se faire arnaquer

Prenant justement comme prétexte la fuite de données, la fausse lettre prétend ainsi que la licorne française offrirait “gracieusement” un nouvel hardware wallet Ledger Nano, pour remplacer le précédent, qui serait soi-disant compromis.

Le (faux) Ledger Nano, emballé sous film plastique (des pros du détail), comporte en fait un petit lecteur flash relié au port USB, ajouté par les escrocs bricoleurs (voir ci-dessous la différence visuelle avec le circuit imprimée d’une vraie Nano X).

Le plus fourbe pour finir : un faux manuel d’instructions explique de façon détaillée à la victime comment transférer les cryptomonnaies vers le nouveau matériel.

Les instructions indiquent de connecter le Ledger vérolé à son ordinateur, d’ouvrir un lecteur qui apparaît, d’exécuter l’application jointe, puis de rentrer la passe-phrase secrète de 24 mots. À partir de là, les pirates auront un total accès aux crypto-actifs de la victime et pourront les siphonner vers leur propre wallet… car évidemment, le wallet envoyé est un leurre vérolé, mais le petite descriptif donné aux victimes les amènent à installer une fausse application Ledger Live, elle aussi vérolée.

Cet exemple, assez incroyablement poussé d’arnaque, doit être une piqûre de rappel pour les crypto-enthousiastes ayant commandé chez Ledger avant la fuite de données, qui doivent continuer à se montrer très méfiants. Le pire dans tout cela, c’est que les hardware wallets de la marque française sont en eux-mêmes très fiables et toujours inviolés à ce jour, au point que Ledger a réussi haut la main à lever 380 millions de dollars très récemment.