Phishing sur Microsoft : 588 000 $ en BTC volés sur une fausse application Ledger Live
Fake Ledger ! La sécurité n’est pas un vain mot dans le secteur des cryptomonnaies. Mais la grande différence réside dans le fait qu’elle est idéologiquement remise entre les seules mains de ses détenteurs. Un principe d’auto-conservation destiné à rendre les utilisateurs de cette économie du Web 3 seuls maîtres à bord de leurs portefeuilles numériques. Et penser qu’une plateforme centralisée peut s’acquitter de cette tâche reste risqué au regard des conclusions de l’affaire FTX. Car la méfiance doit rester de mise. Pour preuve, cette fausse application Ledger Live découverte sur l’App Store de Microsoft.
Un hameçon en forme de « Ledger Live Web3 »
Ne jamais faire confiance par défaut. Voici en quelques mots la tendance que doivent suivre les détenteurs de cryptomonnaies. Une hygiène numérique à laquelle vient s’associer le fait d’éviter à tout prix de se précipiter. Car ces deux ingrédients mélangés donnent la plupart du temps une recette indigeste à base de phishing.
Il s’agit de procédures souvent très bien construites destinées à attirer une victime dans les filets d’une arnaque. Cela en se faisant passer pour un site legit, ou une offre à laquelle il faut absolument participer tout de suite, dans l’urgence, vite, vite, vite… Et, le résultat est souvent dévastateur. Puisque le principe est de vidanger les portefeuilles des personnes ayant mordu à cet hameçon.
Et, c’est très exactement ce qui vient d’arriver à des utilisateurs un peu trop confiants du hardware wallet Ledger. Une attaque de phishing dont la porte d’entrée est une fausse application « Ledger Live Web3 » déposée bien en évidence sur l’App Store officiel de Microsoft. Le tout révélé il y a quelques heures sur le réseau X par l’enquêteur crypto ZachXBT. Et finalement une seule question : comment a-t-elle pu se retrouver là ?
« Alerte communautaire ! Il existe actuellement une fausse application Ledger Live sur l’App Store officiel Microsoft qui a entraîné le vol de plus de 16,8 BTC (588 000 $). Adresse de l’arnaqueur : bc1qg05gw43elzqxqnll8vs8x47ukkhudwyncxy64q »
Un préjudice de 588 000 $ en BTC
Avant toute chose, il semble important de préciser que cette attaque de phishing n’implique en aucun cas la responsabilité de Ledger. En effet, le problème vient plus de Microsoft dont la procédure de sélection de ses applications laisse très clairement à désirer. Et même si ce travail nécessaire semble avoir été fait a posteriori, il était déjà trop tard.
Car cette fausse application Ledger Live aura tout de même eu le temps de faire plusieurs victimes. Cela pour un total de 38 transactions inscrites on-chain dont le préjudice est estimé à 16,8 BTC, soit environ 588 000 $ au moment des faits. Avec comme transfert le plus important, une transaction de 81 200 $ effectuée le 4 novembre.
Une opération très lucrative pour une application dont la durée de vie sur l’App Store de Microsoft est estimée à tout de même plus de deux semaines, puisqu’elle semble être apparue le 19 octobre dernier. Et un escroc visiblement très actifs. En effet, il aurait déjà transféré 115 200 $ de son portefeuille au cours de deux transactions distinctes.
Comme l’explique le crypto-justicier ZachXBT, l’App Store de Microsoft « devrait être tenue pour responsable » dans cette affaire. Et afin d’éviter de tomber dans ce genre de piège, la société Ledger a déjà donné à de nombreuses occasions la meilleure marche à suivre. Cela consiste à se rendre sur le « seul endroit sûr » pour télécharger son application Ledger Live : le site officiel ledger.com.
En crypto, ne faites pas l’économie de la prudence ! Ainsi, pour conserver vos avoirs cryptographiques à l’abri, la meilleure solution est encore un wallet hardware personnel. Chez Ledger, il y en a pour tous les profils et toutes les cryptos. N’attendez pas pour mettre vos capitaux en sécurité (lien commercial) !