Un chercheur en sécurité brésilien a exprimé de nouvelles inquiétudes concernant le nombre croissant d'escroqueries visant les utilisateurs de cryptomonnaies suite à l'achat involontaire d'un faux portefeuille hardware Ledger, spécifiquement conçu dans le but de voler des actifs numériques. L'arnaque a été signalée en ligne sur Reddit, et elle alerte sur la tendance des escrocs à cibler les utilisateurs de cryptomonnaies en auto-garde en imitant des portefeuilles hardware réputés et d'autres sources afin de perpétuer leurs stratagèmes. Cet avertissement a été émis au moment où de nombreux portefeuilles hardware de type Ledger sont fortement commercialisés comme étant parmi les méthodes les plus sûres de stocker des actifs crypto hors ligne; cependant, l'augmentation de l'adoption des portefeuilles hardware a également conduit à une créativité accrue de la part de ceux qui tentent de voler les utilisateurs en utilisant des appareils contrefaits frauduleusement fabriqués, de fausses applications logicielles et des méthodes d'ingénierie sociale.<h2>Comment le dispositif Ledger contrefait a été découvert</h2>Un chercheur en sécurité utilisant le pseudonyme "Past_Computer2901" sur le subreddit "ledgerwallet" a partagé avoir acheté un portefeuille hardware Ledger (supposément) légitime pour un usage personnel. Lorsque le portefeuille est arrivé, il semblait provenir d'une source légitime d'après son emballage; par conséquent, le chercheur n'a pas détecté de problèmes au départ. Cependant, après un examen et un test plus approfondis de l'appareil, le chercheur a déterminé que le dispositif n'était pas un produit légitime, mais faisait partie d'un stratagème de contrefaçon élaboré visant à compromettre les fonds de l'utilisateur dès que l'appareil était allumé ou utilisé. Le chercheur a déclaré que le niveau de détail associé à cette escroquerie était extraordinaire. Les attaquants ont dû déployer une quantité énorme d'efforts pour imiter l'apparence de l'emballage légitime, la conception matérielle du hardware réel et l'expérience utilisateur liée à l'utilisation d'un portefeuille hardware Ledger authentique. Le chercheur a également noté qu'il était encore sous le choc de l'ampleur de cette opération, mais qu'il souhaitait partager cette information avec la communauté des cryptomonnaies afin qu'elle puisse se protéger de cette menace croissante.<h2>Pourquoi les portefeuilles hardware contrefaits sont particulièrement dangereux</h2>Les portefeuilles hardware Ledger stockent les clés privées hors ligne pour les protéger contre le piratage en ligne. La plupart des gens utilisent un portefeuille hardware pour le stockage à long terme de leurs cryptomonnaies, car cela réduit également le risque d'être infecté par des malwares ou d'être victime d'attaques de phishing. Ceci dit, les dispositifs contrefaits annulent complètement ce modèle de sécurité. Plutôt que de protéger les clés privées, les dispositifs contrefaits peuvent avoir été conçus pour : - Créer une phrase de récupération (seed phrase) compromise - Divulguer les clés privées lors de la configuration de l'appareil - Rediriger les fonds vers l'adresse d'un attaquant - Installer une mise à jour de firmware malveillante - Tromper les utilisateurs pour qu'ils révèlent leur phrase de récupération En raison de la confiance inhérente que les utilisateurs accordent aux portefeuilles hardware, la plupart des utilisateurs ne sauront pas si un appareil a été altéré avant d'avoir perdu leurs fonds. Le danger posé par les dispositifs contrefaits est encore aggravé par le fait qu'ils combinent le risque d'altération physique avec la confiance inhérente que de nombreux utilisateurs placent dans des marques bien connues.<h2>Tendance croissante des attaques par la chaîne d'approvisionnement crypto</h2>Cet événement fait partie d'une tendance générale d'augmentation de la sophistication des attaques contre les individus qui ont choisi de prendre le contrôle de leurs propres cryptomonnaies en utilisant des solutions d'auto-garde. Au cours des dernières années, les attaquants sont passés de simples schémas de phishing à des tactiques de chaîne d'approvisionnement beaucoup plus sophistiquées telles que : Des portefeuilles hardware contrefaits vendus par des revendeurs non officiels L'altération de hardware vendu sur un marché secondaire Le reconditionnement et le renommage de produits de fabricants légitimes en contrefaçons Le vol de colis pendant leur acheminement pour substituer des produits contrefaits à des produits légitimes Des portefeuilles hardware contrefaits pré-chargés utilisant la phrase de récupération ou le firmware pré-chargé de quelqu'un d'autre Ces actions créent l'occasion pour les victimes (les utilisateurs) de ne pas pouvoir distinguer un produit réel d'un produit contrefait, surtout lorsqu'ils achètent leur produit auprès de sources tierces/de vendeurs à plusieurs niveaux de distance qui ne vérifient pas le vendeur. Les experts du domaine indiquent que le modèle d'auto-garde est la méthode préférée pour de nombreuses personnes pour stocker des cryptomonnaies, car elles sont moins susceptibles d'utiliser des solutions de garde centralisées et ont donc une valeur plus élevée stockée en cryptomonnaies.<h2>Incident connexe impliquant une fausse application Ledger Live</h2>Cette alerte concernant les dispositifs contrefaits a été émise après plusieurs autres incidents de sécurité graves ce mois-ci, survenus avec de fausses applications se faisant passer pour Ledger Live, qui est l'application autorisée utilisée pour gérer les portefeuilles Ledger. Plus de 50 victimes auraient saisi leurs 'phrases de récupération' (mots-clés ou phrases) dans une application frauduleuse de Ledger Live qui était disponible sur l'Apple App Store via un lien non autorisé et redirigé (un stratagème de "bait-and-switch"). Lorsque les victimes ont entré leur phrase de récupération, les attaquants ont alors procédé au retrait d'argent du portefeuille de la victime. Les pertes totales dues à cet incident sont estimées à environ 9,5 millions de dollars, avant que l'application malveillante ne soit retirée par Apple.L'attaque montre également la vulnérabilité des applications même fiables téléchargées depuis les "app stores", car elles peuvent facilement être compromises par la capacité de l'attaquant à éviter ou à contourner les processus de révision des applications de l'app store et/ou à télécharger des mises à jour malveillantes sur leur application après que l'approbation initiale ait déjà été accordée. <h2>Pourquoi le vol de phrase de récupération (Seed Phrase) reste le risque le plus critique</h2>Parmi toutes les escroqueries modernes dans le domaine des cryptomonnaies, le même thème émerge, les escrocs cherchant à obtenir l'accès à votre phrase de récupération (seed phrase). La phrase de récupération est le mot de passe principal de votre portefeuille de cryptomonnaies et se compose généralement de douze à vingt-quatre mots. Toute personne ayant accès à votre phrase de récupération a un accès total aux fonds de votre portefeuille. Les escrocs utilisent des tactiques d'ingénierie sociale principalement pour inciter les utilisateurs à révéler leurs phrases de récupération. Voici quelques exemples : Fausses demandes de récupération de portefeuille Usurpation d'identité du personnel du support client Applications malveillantes demandant la confirmation de l'utilisateur Faux appareils demandant aux utilisateurs de "vérifier" leur(s) appareil(s) sur Internet Fausses alertes de sécurité indiquant un problème avec le compte de l'utilisateur Récupérer une phrase de récupération volée, une fois qu'elle a été exposée, n'est généralement pas possible en raison du fonctionnement de la plupart des applications blockchain; dans la majorité des cas, toutes les transactions sont irréversibles.<h2>Les experts en sécurité mettent en garde contre une sophistication croissante</h2>Un scientifique brésilien a exprimé des inquiétudes concernant un développement inquiétant en matière de cybersécurité – les escroqueries liées aux cryptomonnaies deviennent plus structurées, sophistiquées et difficiles à détecter qu'elles ne l'étaient il y a quelques années. Alors que par le passé, les escroqueries impliquaient généralement des e-mails de phishing évidents ou des sites web mal construits, les progrès réalisés par les escrocs peuvent inclure une combinaison de : Marque et emballage de haute qualité Produits fonctionnellement contrefaits qui fonctionnent exactement comme les vrais Applications mobiles clonées avec des interfaces utilisateur presque identiques Un support client qui semble réel Réseaux de distribution multinationaux En raison de la sophistication de ces produits, les personnes moyennes pourraient ne pas être en mesure d'identifier si le produit qu'elles utilisent est frauduleux avant qu'il ne soit trop tard. Les experts affirment que les escrocs ne sont plus des opportunistes aléatoires; ils sont devenus des syndicats organisés qui mènent des opérations de fraude complexes, avancées et s'étendant sur plusieurs années.<h2>Impact sur la confiance dans les solutions d'auto-garde</h2>La communauté crypto encourage l'auto-garde comme méthode permettant aux utilisateurs de maintenir le contrôle de leurs propres clés privées sans avoir à faire confiance aux exchanges centralisés. Un bon exemple des risques liés à la pleine propriété des actifs numériques crypto est la récente nouvelle concernant l'escroquerie du portefeuille Ledger contrefait. L'auto-garde protège l'utilisateur du risque en éliminant la contrepartie de la transaction. Cependant, elle place également 100% de la responsabilité de la sécurisation de leurs cryptos sur l'utilisateur individuel. Les utilisateurs doivent désormais faire preuve d'une extrême prudence en ce qui concerne l'authenticité des appareils qu'ils utilisent, l'intégrité des logiciels chargés sur ces appareils et la capacité de l'utilisateur à suivre de bonnes pratiques de sécurité opérationnelle. Des événements récents comme l'escroquerie du Ledger contrefait peuvent amener de nombreux utilisateurs à réévaluer leur méthode de stockage pour leurs actifs numériques, en particulier s'ils ne sont pas suffisamment confiants dans leur capacité à identifier et/ou détecter des tentatives de fraude sophistiquées.<h2>Leçons clés pour les utilisateurs de cryptomonnaies</h2>Il existe de nombreux signes qui vous aident à identifier les moyens de vous protéger contre la fraude : 1. Achetez toujours vos portefeuilles hardware auprès d'un détaillant agréé ou sur le site officiel du fabricant. 2. Assurez-vous d'examiner l'emballage et de vérifier toute altération et de confirmer la fonctionnalité de l'appareil avant utilisation. 3. La saisie de votre phrase de récupération (seed phrase) pour votre portefeuille ne doit se faire que lors de la configuration initiale du portefeuille hardware. 4. Téléchargez votre logiciel uniquement à partir d'une source légitime ; soit via un magasin d'applications autorisé, soit via le lien fourni par le fabricant. 5. Si vous achetez votre portefeuille hardware auprès de sources tierces et que le prix est nettement inférieur au prix de détail suggéré par le fabricant, soyez prudent. 6. Confirmez toujours la vérification officielle du firmware par le fabricant.Bien qu'aucune de ces étapes n'élimine complètement le risque de fraude ou d'appareils altérés, chacune a joué un rôle majeur dans la réduction du risque de devenir victime d'un appareil contrefait ou altéré.<h2>Conclusion</h2>La découverte par un chercheur en sécurité brésilien du faux portefeuille hardware Ledger démontre un paysage de menaces en cryptomonnaie qui évolue rapidement et est très sophistiqué. L'évolution constante des attaques par la chaîne d'approvisionnement et des tactiques d'ingénierie sociale signifie que les utilisateurs qui s'appuient sur l'auto-garde devront rester constamment vigilants. L'émergence récente de la fausse application Ledger Live, qui a entraîné des millions de dollars de pertes, montre que les escroqueries crypto évoluent du simple phishing vers des opérations beaucoup plus complexes qui brouillent les frontières entre les produits authentiques et faux.Le message aux utilisateurs est clair. Dans un scénario où le contrôle équivaut à la responsabilité, l'éducation à la sécurité n'est plus une option ; elle est obligatoire pour la protection de ses actifs numériques.

Un chercheur brésilien met en garde contre de faux portefeuilles et applications Ledger sophistiqués qui volent des millions. Les escrocs utilisent du matériel contrefait et l'ingénierie sociale pour détourner les phrases semences. La vigilance est primordiale.

L'escroquerie au faux Ledger soulève des inquiétudes sur l'auto-gardiennage crypto

/media/contribution/carf291d1f925874cf499c90ae3687ec21a/jcs_0424033348373.stxt

Pourquoi trader la crypto sur un Wi-Fi public est un pari à haut risque

/media/contribution/car0c667b2cb61749d8bbe060c7dd4ee431/okz_0424030319419.stxt

La Corée du Sud Développe un Système de Suivi des Cryptomonnaies — Les Évadés Fiscaux Doivent S’y Intéresser

/media/contribution/car559f376eb08141b5ac764b8622982932/oec_0424031524000.stxt

L'opportunité de 24 milliards de dollars australiens dans les actifs numériques dépend de la clarté réglementaire

/media/contribution/car308527359fe44c609eb7194e37d50bb7/25r_0424030654037.stxt

L'adoption du Bitcoin est en hausse, mais l'évolution des prix raconte une histoire différente

/media/contribution/car3de7d9ae8e1b477997aa47e7362a864d/fr9_0424031748141.stxt

Vétéran de la crypto Li Lin change de cap : l'équipe de trading se dirige vers Bitfire à Hong Kong

/media/contribution/car567c6a9c4a7544f78618a253f3d748aa/34g_0424032911105.stxt