Des escrocs auraient tenté de voler les portefeuilles de crypto-monnaie des clients de Ledger en leur envoyant un faux matériel accompagné d’une lettre affirmant que l’appareil existant de la victime potentielle n’est pas sécurisé.

Ledger propose deux produits, le Nano S et le Nano X, qui peuvent stocker les clés numériques utilisées pour sécuriser les portefeuilles cryptographiques. Les appareils peuvent être utilisés avec une variété de crypto-monnaies, sont compatibles avec de nombreuses applications et sont censés offrir un moyen sûr de gérer la crypto sans trop compromettre la commodité. Ledger indique sur son site Web qu’il a vendu 1,5 million de produits à des clients dans 165 pays à ce jour.

L’entreprise a également subi une violation de données en juillet 2020. Elle a déclaré en décembre 2020 qu' »environ 1 million d’adresses e-mail » et « 9532 informations personnelles plus détaillées (adresses postales, nom, prénom et numéro de téléphone) que nous avons pu identifier spécifiquement » ont été partagés sur un marché de base de données connu sous le nom de RaidForums. Ces informations ont depuis été utilisées dans des campagnes de phishing comme celle-ci.

BleepingComputer a rapporté que cette campagne particulière impliquait un Nano X modifié, qui a été expédié dans l’emballage d’origine et emballé sous film rétractable pour le faire ressembler à une livraison officielle, qui a été expédiée avec une lettre prétendument du PDG de Ledger, Pascal Gauthier. La lettre affirmait que les informations de la victime visée avaient été affectées par la fuite de RaidForums et qu’elle devait donc passer au nouvel appareil.

Cependant, cette victime en particulier a décidé d’examiner de plus près le Nano X modifié et a découvert qu’il contenait un lecteur flash qui n’est pas présent sur le matériel réel. Ce lecteur serait très probablement utilisé pour installer des logiciels malveillants conçus pour compromettre la phrase de récupération du grand livre (et donc la clé privée utilisée pour sécuriser le portefeuille) afin que les escrocs puissent ensuite voler la crypto-monnaie de la victime.

Ledger a reconnu ces efforts dans une section de son site Web dédiée au suivi des campagnes de phishing. « C’est une arnaque. Un Ledger Nano n’est pas un périphérique USB. Il ne contient aucune application à télécharger et à installer sur votre ordinateur. La seule façon de télécharger l’application Ledger Live est d’utiliser la page de téléchargement officielle », a-t-il déclaré. « De plus, Ledger et Ledger Live ne vous demanderont jamais de partager votre phrase de récupération de 24 mots. »

La société fournit également un guide pour vérifier l’intégrité du matériel de marque Ledger Nano X. Ce guide comprend des images du circuit imprimé de l’appareil, sa racine de confiance et d’autres informations pouvant être utilisées pour s’assurer que l’appareil n’a pas été compromis. (Il ne semble pas offrir un guide similaire pour le Nano S.) Il vaut probablement la peine de suivre ce guide pour chaque Nano X, même s’il a été légitimement commandé.