Les méthodes d’escroquerie en cryptomonnaie évoluent à nouveau, avec plusieurs utilisateurs de portefeuilles matériels tels que Trezor et Ledger signalant récemment avoir reçu des lettres physiques déguisées en notifications officielles. Ces lettres demandent de scanner un code QR pour une vérification forcée, mais en réalité, elles incitent les utilisateurs à saisir leur phrase de récupération, permettant ainsi de voler leurs actifs. Ce type d’attaque n’est pas nouveau et souligne à nouveau les risques à long terme liés à la fuite de données personnelles et aux escroqueries par ingénierie sociale.
Lettres physiques déguisées en notifications officielles, exigeant une « vérification d’identité » dans un délai imparti
L’équipe de cybersécurité Dmitry Smilyanets indique que plusieurs utilisateurs ont reçu des lettres papier signées prétendument par Trezor ou Ledger, affirmant qu’ils doivent effectuer une « vérification d’authentification » ou une « vérification de transaction » dans un délai précis, faute de quoi leur appareil pourrait être restreint.
Selon les rapports, l’apparence de ces lettres est très soignée, comprenant de fausses signatures, logos de marque et autocollants de sécurité, avec un code QR de vérification joint. Dans certains cas, la lettre porte même la signature du PDG de Trezor, Matěj Žák.
Scan du code QR menant à un faux site web, incitant à saisir la phrase de récupération
Dmitry Smilyanets rapporte que le code QR dans la lettre redirige la victime vers un site malveillant imitant la page officielle, demandant la saisie de la phrase de récupération du portefeuille pour effectuer une prétendue « vérification de sécurité ». Une fois la phrase saisie, les données sont transmises via une API backend aux attaquants, leur permettant d’importer le portefeuille sur d’autres appareils et de transférer les actifs.
Les responsables officiels de Trezor et Ledger insistent à plusieurs reprises que ni eux ni leurs sites web, emails ou lettres physiques ne demandent jamais aux utilisateurs de fournir leur phrase de récupération. La fuite de cette phrase équivaut à céder le contrôle du portefeuille.
Origine de l’attaque : la fuite de données de Ledger par le passé, une liste ciblée
La précision avec laquelle ces lettres physiques parviennent aux destinataires est liée aux incidents de fuite de données survenus ces dernières années. En 2020, Ledger a été victime d’une fuite de données suite à un incident de sécurité chez son partenaire commercial Shopify, exposant les noms et adresses physiques de centaines de milliers de clients. En 2023, Ledger a également subi une attaque sur sa chaîne d’approvisionnement avec le Ledger Connect Kit. Début 2024, Trezor a signalé la fuite accidentelle de données de contact de 66 000 utilisateurs.
Le mois dernier, Ledger a été victime d’une intrusion via son prestataire de services de paiement tiers, Global-e, entraînant la fuite des noms et coordonnées des utilisateurs. Bien que la société ait affirmé que ni les clés privées ni les informations de paiement n’ont été compromises, ces données peuvent néanmoins être utilisées pour des attaques de phishing. Même si l’appareil de portefeuille lui-même reste sécurisé, la fuite de données personnelles peut continuer à être exploitée à plusieurs reprises.
(Le fournisseur de paiement tiers de Ledger, Global-e, a subi une fuite de données, la société répondant « la sécurité de l’appareil portefeuille n’est pas compromise »)
Évolution des méthodes d’escroquerie : du courriel à l’ingénierie sociale physique
En observant les tendances récentes, les techniques de phishing se sont étendues des emails et messages frauduleux de service client à la falsification d’applications, voire à l’envoi de faux appareils matériels et de lettres physiques. Les lettres physiques réduisent la méfiance des utilisateurs, surtout lorsque leur conception est très réaliste, ce qui facilite la confusion. La multiplication de ces attaques reflète également les risques liés à la protection des données et à la dépendance à des tiers dans l’industrie de la cryptographie.
Dmitry Smilyanets rappelle que la meilleure défense pour les utilisateurs reste le principe fondamental : « Ne divulguez jamais votre phrase de récupération à quiconque, en aucune circonstance. » Dans un contexte où les incidents de cybersécurité sont nombreux, renforcer la vigilance des utilisateurs et la sécurité de la chaîne d’approvisionnement demeure un enjeu crucial pour l’industrie.
Cet article, « Attention aux portefeuilles froids ! Les utilisateurs de Trezor et Ledger reçoivent successivement des lettres physiques contenant des codes QR de phishing », a été initialement publié sur Chain News ABMedia.
Avertissement : Les informations contenues dans cette page peuvent provenir de tiers et ne représentent pas les points de vue ou les opinions de Gate. Le contenu de cette page est fourni à titre de référence uniquement et ne constitue pas un conseil financier, d'investissement ou juridique. Gate ne garantit pas l'exactitude ou l'exhaustivité des informations et n'est pas responsable des pertes résultant de l'utilisation de ces informations. Les investissements en actifs virtuels comportent des risques élevés et sont soumis à une forte volatilité des prix. Vous pouvez perdre la totalité du capital investi. Veuillez comprendre pleinement les risques pertinents et prendre des décisions prudentes en fonction de votre propre situation financière et de votre tolérance au risque. Pour plus de détails, veuillez consulter l'
avertissement.
Articles similaires
Circle annule le gel KYT sur 500 portefeuilles Casino et Whale USDC.
Circle a débloqué deux portefeuilles chauds liés à 500 Casino et à un crypto‑baleine après qu’une suspension de conformité a bloqué les retraits des utilisateurs sur une bourse centralisée. Le manque de transparence concernant la suspension initiale suscite des inquiétudes au sujet du contrôle centralisé des actifs.
LiveBTCNewsIl y a 1h
Resolv brûle 46M USR après un exploit de 80M $, élimine l'offre illicite dans une grande opération de récupération.
Principaux enseignements :
Resolv a brûlé et mis environ 46 millions de USR (57%) de l'offre illégale sur sa liste noire
Il n'y a pas de portefeuille lié aux hackers qui puisse transférer ou échanger des USR
L'une des mesures consiste à mettre à jour les contrats avec des efforts de coordination pour restreindre les impacts de l'exploitation
Après le récent
CryptoNinjasIl y a 11h
Circle lève le gel des portefeuilles liés à 500 Casino.
L’espace crypto débat à nouveau du contrôle et de la transparence après que l’enquêteur blockchain ZachXBT a révélé une nouvelle mise à jour concernant Circle. La société a désormais dégelé deux portefeuilles USDC liés à 500 Casino et à un utilisateur connu sous le nom de « Whale ». Ensemble, ces portefeuilles détenaient plus de 330 000 $. Ce mouvement
CoinfomaniaIl y a 12h
Husband controls wife to steal over 2,000 bitcoins! Judge: The plaintiff's chances of winning are very high.
Le tribunal supérieur du Royaume-Uni a récemment examiné une affaire de vol de Bitcoin, le plaignant Ping Fai Yuen accusant son épouse séparée Fun Yung Li d'avoir volé des Bitcoins dans son portefeuille matériel par le biais de caméras cachées, d'une valeur d'environ 176 millions de dollars. Les preuves audio et de perquisition soutiennent les affirmations du plaignant, le tribunal a maintenu l'ordonnance de gel des actifs, mais a rejeté une partie des demandes. Le juge estime que le plaignant a de très fortes chances de gagner et recommande de tenir une audience rapidement.
区块客Il y a 12h
L’IA code et fait n’importe quoi ! L’application des produits à rotation rapide des supermarchés en temps réel « Chasseur anti-gaspillage » révèle des problèmes de sécurité informatique : le GPS de votre maison se met à nu
Récemment, l'application "Chasseur de nourriture" a suscité des préoccupations en raison de problèmes de sécurité, avec des données GPS des utilisateurs divulguées et des autorisations API douteuses. De plus, Amazon a rencontré des pannes système et des pertes financières, montrant les risques d'une dépendance excessive à l'IA pour écrire du code. Les experts appellent à renforcer le contrôle humain pour garantir la sécurité et l'exactitude.
CryptoCityIl y a 12h
Ripple executives urgently refute rumors: there is no "secret XRP contract," social media misinformation stirs controversy again.
Les rumeurs autour du "contrat secret XRP" se sont répandues rapidement en 2026, le directeur technique de Ripple, David Schwartz, a publiquement démenti cela, soulignant qu'aucun protocole de répartition préalable n'a jamais été confirmé. Cet événement découle de posts trompeurs sur les réseaux sociaux, suscitant l'attention du marché et mettant en évidence les problèmes de la diffusion d'informations cryptographiques, rappelant aux investisseurs qu'ils doivent vérifier les sources face à des informations sensibles.
GateNewsIl y a 13h
