Le champ de bataille contre les tentatives d’hameçonnage
Lire l’articleNe partagez jamais les 24 mots de votre phrase de récupération secrète avec qui que ce soit, dans n’importe quelle circonstance.
Même avec Ledger ou avec une personne qui semble faire partie de Ledger. Ledger ne vous les demandera jamais. Ne saisissez jamais vos 24 mots ailleurs que sur votre appareil Ledger.
#StopTheScammers
Campagnes d’hameçonnage en cours
Des tentatives d’hameçonnage visent des utilisateurs de Ledger.
Ces attaques sont malheureusement une menace bien trop fréquente sur Internet. Nous dressons ici une liste d’exemples d’attaques par hameçonnage ciblant nos utilisateurs, et qui nous ont été signalées. Si vous avez le moindre doute sur l’authenticité d’une communication provenant de Ledger, vous pouvez vous référer à la liste ci-dessous. Elle met en évidence certaines campagnes d’hameçonnage récentes.
Campagnes d’hameçonnage en cours
Top 5 des campagnes d’escroquerie ciblant les utilisateurs de Ledger
1. Acteurs malveillants qui contactent les utilisateurs de Ledger par téléphone. Le point essentiel à retenir est le suivant : Ledger ne contacte jamais ses utilisateurs par téléphone, pour quelque raison que ce soit. Aussi convaincante que la personne puisse paraître, rappelez-vous toujours qu’il n’y a aucune situation qui nécessiterait de fournir votre phrase de récupération secrète de 24 mots. Toute personne qui essaie d’obtenir vos 24 mots confidentiels cherche à voler vos actifs.
Un acteur malveillant peut également utiliser l’adresse email d’un utilisateur pour lui faire envoyer une demande d’assistance légitime. L’utilisateur recevra alors un email émanant de l’Assistance Ledger. L’escroc appelle ensuite l’utilisateur, et semble ainsi plus crédible. Par conséquent, si vous recevez un email non sollicité de la part de l’Assistance Ledger, veuillez y répondre, pour faire savoir à notre équipe que vous n’êtes pas à l’origine de la demande. Et si vous êtes au téléphone avec quelqu’un qui prétend faire partie de Ledger, raccrochez immédiatement et ignorez tous les autres appels que vous pourriez recevoir.
Pour en savoir plus sur cette tactique d’escroquerie, consultez l’article ci-après :
Article de l’Assistance Ledger
2. Fausse application Ledger Live ou faux sites Web. Cette escroquerie a toujours été l’une des plus courantes qui soient. Les fausses versions de Ledger Live peuvent sembler très crédibles à première vue. Cependant, si vous tentez d’interagir avec l’une de ces applications, vous recevrez inévitablement un soi-disant « message d’erreur » accompagné d’une invitation à saisir votre phrase de récupération secrète de 24 mots. Bien sûr, ce message d’erreur est faux et votre appareil Ledger ne présente aucun problème, ni avec sa mémoire, ni son système d’exploitation, etc. Cette tentative vise à piéger l’utilisateur et l’amener à saisir sa phrase de récupération secrète de 24 mots.
L’application officielle Ledger Live peut uniquement être téléchargée à partir de notre site Web https://www.ledger.com/fr/ledger-live. Pour voir des exemples de fausses applications Ledger Live ou de faux sites Web, veuillez vous référer à cet article :
Article de l’Assistance Ledger
3. NFT frauduleux. Dans cette tactique, un escroc dépose dans le wallet d’un utilisateur un NFT contenant un message trompeur, lui faisant croire qu’il a gagné un prix ou un lot. Il inclut également des instructions pour visiter un certain site Web afin de demander la soi-disant « récompense ». Ce genre de NFT doit être traité exactement de la même manière qu’un spam : n’y touchez surtout pas. Vous pouvez simplement masquer ce NFT de votre portefeuille dans Ledger Live.
L’article ci-après contient quelques exemples de NFT frauduleux reçus par des utilisateurs, ainsi que des instructions pour les gérer : Article de l’Assistance Ledger
4. Transactions malveillantes. Cette tactique consiste à amener l’utilisateur à autoriser une transaction qu’il n’avait pas l’intention d’effectuer, souvent en exploitant la signature aveugle. Son objectif est donc souvent le même que celui de la tactique précédente impliquant des NFT frauduleux.
Faites preuve d’une extrême prudence lorsque vous vous connectez à une application décentralisée ou à un site Web pour valider une opération, surtout si cette dApp ou ce site demande à l’utilisateur de signer aveuglément (sans voir tous les détails de l’opération). Pour en savoir plus sur les dangers de la signature aveugle, cliquez ici :
https://www.ledger.com/academy/cryptos-greatest-weakness-blind-signing-explained
Pour en savoir plus sur les transactions malveillantes et les dangers qu’elles posent, consultez l’article ci-après :
https://support.ledger.com/article/8397197967005-zd
5. Faux comptes se faisant passer pour Ledger sur les réseaux sociaux. Les escrocs créent constamment de faux profils sur les réseaux sociaux, et ils peuvent être très difficiles à démasquer. Un point essentiel à retenir est que Ledger n’envoie jamais de message direct aux utilisateurs sur les réseaux sociaux. Tout message direct sur un réseau social doit être considéré comme une tentative d’escroquerie.
Les escrocs ne se contentent pas de tenter de copier les comptes officiels de l’Assistance Ledger. Ils se font aussi souvent passer pour des personnes qui travaillent ou ont travaillé chez Ledger. Ils peuvent vous contacter en répondant à vos publications, et ils vous demanderont généralement de leur envoyer un message direct. Ils peuvent également vous inviter à suivre une personne sur un autre réseau social, par exemple en vous proposant de la contacter sur Instagram ou sur Telegram.
Pour votre sécurité, veuillez considérer tout message vous invitant à contacter une autre personne sur un réseau social, ou toute tentative de discussion par message direct, comme une tentative d’escroquerie. Par-dessus tout, ne partagez jamais votre phrase de récupération secrète de 24 mots avec qui que ce soit, peu importe la raison.
Pour obtenir la liste complète des comptes officiels de l’Assistance Ledger sur les réseaux sociaux, veuillez consulter l’article ci-après :
Article de l’Assistance Ledger
En savoir plus sur les campagnes d’hameçonnage
Anatomie d’une attaque par hameçonnage
Lire l’articleComment protéger vos cryptos contre les escroqueries ?
Lire l’articleVous souhaitez nous aider ou signaler une campagne d’hameçonnage ?
Si vous avez le moindre doute sur l’authenticité d’une communication reçue, ou sur un nom de domaine ou une l’adresse d’envoi d’une communication, vous pouvez toujours contacter l’Assistance Ledger.
Si vous pensez avoir reçu une fausse communication d’une tierce personne se faisant passer pour Ledger, vous pouvez la signaler ici.
Si vous souhaitez signaler un faux compte X (Twitter) se faisant passer pour Ledger ou pour un de ses collaborateurs, vous pouvez utiliser ce lien.
Si vous avez reçu une tentative d’hameçonnage ou si vous avez connaissance d’un site Web illégal, veuillez le signaler à Google Safe Browsing. Plus nous signalons ces sites illégaux à Google, plus il sera difficile pour les escrocs de tromper les utilisateurs de Ledger.
Comment se protéger contre des arnaques par hameçonnage ?
Ne validez jamais une transaction sur votre wallet Ledger si vous n’avez pas initié cette transaction vous-même
Les escrocs vous demanderont de télécharger une fausse application Ledger Live, qui va déclencher une transaction sur votre appareil Ledger. Vous devez absolument rejeter cette transaction.
Ledger ne peut pas désactiver et ne désactivera jamais votre appareil
Certaines tentatives d’hameçonnage prétendent que Ledger a « désactivé » ou « bloqué » votre appareil, pour des raisons de vérification d’identité en vertu de la règlementation en matière de KYC. Ledger n’est pas en mesure de « bloquer » ou de « désactiver » votre appareil. Toute demande vous demandant de le faire est un piège.
Interagissez uniquement avec Ledger via nos canaux officiels
Faites preuve de prudence. Les faux noms de domaine sont parfois très difficiles à détecter, avec des différences d’orthographe subtiles, telles que « legder », « leqder », « ledqer », « lèdger » ou « ledgёr ».
Faites également attention à ce qui semble être un nom de domaine Ledger.com, mais qui ne l’est pas !
Par exemple :
ledger.com-a42-encryption-m6-email.rg37-s8-smtp (point) cloud
Les noms de domaine de Ledger sont les suivants :
@ledger.fr
@ledger.com
@ledgerwallet.com
@ledger.zendesk.com
Ledger ne vous contactera jamais par SMS ou par téléphone
Dès que vous recevez une communication semblant provenir de Ledger, par SMS, WhatsApp, Telegram, appel téléphonique ou lettre postale, dites-vous qu’il s’agit d’une tentative d’hameçonnage. Signalez-la comme un spam et bloquez l’expéditeur.
Ledger communique uniquement par email et par ses comptes officiels sur les réseaux sociaux suivants :
twitter.com/ledger
facebook.com/ledger
instagram.com/ledger