Campagnes d’hameçonnage en cours

Principales campagnes d’escroquerie visant les utilisateurs de Ledger

Courrier physique demandant aux utilisateurs de scanner un code QR ou de se rendre sur un site Web

Des utilisateurs reçoivent une lettre, par voie postale. Le format et l’objet diffèrent d’un courrier à un autre. Toutefois, dans chaque cas, il est demandé au destinataire de scanner un code QR et/ou de se rendre sur un site Web, puis de suivre les instructions. Il est alors demandé aux utilisateurs de saisir leurs 24 mots. Rappel : ne saisissez jamais vos 24 mots. Il n’existe aucune raison valable de saisir votre phrase de récupération secrète sur un ordinateur. Toute personne ayant connaissance de votre phrase de récupération secrète dispose d’un accès total aux comptes qui y sont associés.

Voici quelques exemples, en photo, de cette escroquerie :

Récemment, une autre lettre affirmait que Ledger aurait ouvert des adresses « coffre-fort » (vault) pour certains utilisateurs. Le message laissait entendre, sans le dire clairement, que vous devriez mettre vos actifs dans ce coffre-fort en les transférant vers certaines adresses de wallet. Il s’agit d’une arnaque. Nous vous rappelons que vous ne devez jamais transférer vos cryptos vers une adresse que vous ne connaissez pas.

Acteurs malveillants qui contactent les utilisateurs de Ledger par téléphone

Le point essentiel à retenir est le suivant : Ledger ne contacte jamais ses utilisateurs par téléphone, pour quelque raison que ce soit. Aussi convaincante que la personne puisse paraître, rappelez-vous toujours qu’il n’y a aucune situation qui nécessiterait de fournir votre phrase de récupération secrète de 24 mots. Toute personne qui essaie d’obtenir vos 24 mots confidentiels cherche à voler vos actifs.

Si vous prenez l’appel de quelqu’un qui prétend travailler chez Ledger, raccrochez immédiatement et ignorez toutes autres tentatives de contact.

Les arnaques par téléphone suivent généralement un schéma en trois étapes.

1. L’escroc commence par envoyer une demande d’assistance en utilisant l’adresse email de la victime. Cela déclenche automatiquement l’envoi d’un message de confirmation par le système de l’Assistance Ledger. Ensuite, l’escroc appelle immédiatement sa victime. Fort du crédit gagné grâce au message de confirmation, l’escroc prétend que votre compte a été piraté, ou invente une histoire tout aussi alarmante. Si vous recevez un email de l’Assistance Ledger alors que vous n’avez pas envoyé de demande d’assistance, répondez simplement au message automatique de confirmation pour nous signaler que vous n’êtes pas à l’origine de cette demande.
2. Des escrocs se font passer pour des collaborateurs de CoinCover, l’entreprise qui fournit le service Ledger Recover. Ils appellent un utilisateur en affirmant qu’ils effectuent un suivi concernant une demande de restauration d’un appareil Ledger. Le service Ledger Recover nécessite une activation expresse et un abonnement. Dans de nombreux cas, l’utilisateur ciblé n’a même pas souscrit à ce service. Conformément à nos principes, CoinCover ne contacte jamais un utilisateur de Ledger sans une demande préalable de ce dernier.
3. Un individu appelle pour signaler qu’une tentative non autorisée de restauration du compte Ledger depuis un pays étranger a été détectée. Les principes de conservation personnelle des cryptos rendent ce genre de scénario techniquement impossible. Quiconque détient une phrase de récupération secrète dispose d’un accès total aux comptes qui y sont liés. Il n’existe aucun mécanisme permettant d’avertir le propriétaire légitime qu’une restauration des comptes a été initiée. Ce n’est qu’au moment où des actifs sont déplacés depuis ces comptes que la restauration pourrait être découverte.

Pour en savoir plus sur cette tactique d’escroquerie, consultez cet article de notre Centre d’aide.

Fausse application Ledger Wallet (anciennement Ledger Live) ou faux sites Web

Cette escroquerie a toujours été l’une des plus courantes qui soient. Les fausses versions de Ledger Wallet (anciennement Ledger Live) peuvent sembler très crédibles à première vue. Cependant, si vous tentez d’interagir avec l’une de ces applications, vous recevrez inévitablement un soi-disant « message d’erreur » accompagné d’une invitation à saisir votre phrase de récupération secrète de 24 mots. Bien sûr, ce message d’erreur est faux et votre appareil Ledger ne présente aucun problème, ni avec sa mémoire, ni son système d’exploitation, etc. Cette tentative vise à piéger l’utilisateur et l’amener à saisir sa phrase de récupération secrète de 24 mots.

L’application officielle Ledger Wallet peut uniquement être téléchargée à partir de notre site Web https://shop.ledger.com/fr/fr/pages/ledger-wallet. Pour voir des exemples de fausses applications Ledger Wallet ou de faux sites Web, veuillez vous référer à cet article :
Article de l’Assistance Ledger

Faux emails

Ces derniers temps, nous avons constaté que certains utilisateurs recevaient des emails à l’image de celui présenté ci-dessous. N’oubliez pas de toujours vérifier toujours l’adresse email de l’expéditeur. À noter : il n’existe aucune raison valable de saisir votre phrase de récupération secrète sur un ordinateur.

Dans ces exemples, lorsque la victime de l’escroquerie clique sur le bouton "Verify Now" (Vérifier), "Secure My Account Now" (Sécuriser mon compte), ou "Claim My Gen5 Protection Device" (Obtenir mon appareil de protection Ledger Gen5), elle est redirigée vers un site où il lui est demandé de saisir sa phrase de récupération secrète. La phrase de récupération secrète est la clé qui contrôle vos comptes. Toute personne qui en a connaissance dispose d’un accès total aux comptes qui y sont associés.

NFT frauduleux

Dans cette tactique, un escroc dépose dans le wallet d’un utilisateur un NFT contenant un message trompeur, lui faisant croire qu’il a gagné un prix ou un lot. Il inclut également des instructions pour visiter un certain site Web afin de demander la soi-disant « récompense ». Ce genre de NFT doit être traité exactement de la même manière qu’un spam : n’y touchez surtout pas. Vous pouvez simplement masquer ces NFT dans votre portefeuille sur l’application Ledger Wallet.

L’article ci-après contient quelques exemples de NFT frauduleux reçus par des utilisateurs, ainsi que des instructions pour les gérer : Article de l’Assistance Ledger

Faux comptes se faisant passer pour Ledger sur les réseaux sociaux

Les escrocs créent constamment de faux profils sur les réseaux sociaux, et ils peuvent être très difficiles à démasquer. Un point essentiel à retenir est que Ledger n’envoie jamais de message direct aux utilisateurs sur les réseaux sociaux. Tout message direct sur un réseau social doit être considéré comme une tentative d’escroquerie.

Les escrocs ne se contentent pas de tenter de copier les comptes officiels de l’Assistance Ledger. Ils se font aussi souvent passer pour des personnes qui travaillent ou ont travaillé chez Ledger. Ils peuvent vous contacter en répondant à vos publications, et ils vous demanderont généralement de leur envoyer un message direct. Ils peuvent également vous inviter à suivre une personne sur un autre réseau social, par exemple en vous proposant de la contacter sur Instagram ou sur Telegram.

Pour votre sécurité, veuillez considérer tout message vous invitant à contacter une autre personne sur un réseau social, ou toute tentative de discussion par message direct, comme une tentative d’escroquerie. Par-dessus tout, ne partagez jamais votre phrase de récupération secrète de 24 mots avec qui que ce soit, peu importe la raison.

Pour obtenir la liste complète des comptes officiels de l’Assistance Ledger sur les réseaux sociaux, veuillez consulter l’article ci-après :
Article de l’Assistance Ledger