Campagne de Phishing Ciblant les Utilisateurs de Cryptomonnaies
Des hackers spécialisés dans les cryptomonnaies envoient des lettres physiques se faisant passer pour Trezor et Ledger afin de dérober les phrases de récupération des portefeuilles de cryptomonnaie. Cette campagne de phishing prétend que les destinataires doivent compléter des procédures obligatoires de « Vérification d’Authentification » ou de « Vérification de Transaction ». Les hackers créent également un sentiment d’urgence en fixant des délais au 15 février 2026 pour Trezor.
Techniques Utilisées par les Hackers
Les lettres, imprimées sur du papier à en-tête officiel, incitent les utilisateurs à scanner des QR codes menant à des sites web malveillants. Ces sites de phishing demandent des phrases de récupération de 24, 20 ou 12 mots sous prétexte de vérifier la propriété de l’appareil. Une fois saisies, ces phrases de récupération sont transmises aux acteurs malveillants via des points de terminaison API en arrière-plan, permettant aux attaquants d’obtenir un contrôle total sur les portefeuilles et les fonds des victimes.
« Pour éviter toute interruption de votre accès à Trezor Suite, veuillez scanner le QR code avec votre appareil mobile et suivre les instructions sur notre site web »
Cette citation provient d’une fausse lettre de Trezor reçue par l’expert en cybersécurité Dmitry Smilyanets, avertissant que le non-respect de l’authentification entraînerait une perte de fonctionnalité de l’appareil.
Impact des Violations de Données
Les deux entreprises de portefeuilles matériels ont subi des violations de données ces dernières années, exposant ainsi les informations de contact de leurs clients. Le site de phishing Trezor affiche des avertissements concernant un accès limité, des erreurs de signature de transaction et des interruptions lors des mises à jour futures. Une lettre similaire à thème Ledger a circulé sur X, prétendant que la Vérification de Transaction deviendrait obligatoire.
Les pages de phishing permettent aux utilisateurs de saisir des phrases de récupération dans plusieurs formats, prétendant faussement que ces informations vérifient la propriété de l’appareil et activent les fonctionnalités d’authentification.
Conséquences pour les Victimes
Une fois que les victimes saisissent leurs phrases de récupération, les données sont transmises au site de phishing. Les attaquants importent ensuite le portefeuille sur leurs propres appareils et drainent les fonds. Les lettres créent une fausse urgence en affirmant que les appareils achetés après le 30 novembre 2025 sont préconfigurés, pressant ainsi les acheteurs antérieurs d’agir.
Les campagnes de phishing par courrier physique ciblant les utilisateurs de portefeuilles matériels restent relativement rares. En 2021, des hackers ont envoyé des appareils Ledger modifiés conçus pour voler des phrases de récupération lors de la configuration. Une campagne postale similaire ciblant les utilisateurs de Ledger a été signalée en avril.
Précautions à Prendre
Quiconque possède une phrase de récupération de portefeuille obtient un contrôle total sur le portefeuille et tous les fonds. Trezor et Ledger ne demandent jamais aux utilisateurs de saisir, scanner, télécharger ou partager leurs phrases de récupération par aucun canal. Ces phrases ne doivent être saisies directement que sur les appareils de portefeuille matériel lors de la restauration des portefeuilles, et jamais sur des ordinateurs, des appareils mobiles ou des sites web.
Les critères de ciblage pour ces lettres physiques restent flous. Cependant, les violations de données passées des deux entreprises ont exposé les adresses postales et les informations de contact de leurs clients à de potentiels attaquants.
