Le fournisseur de portefeuille matériel de crypto-monnaie Trezor a émis un avertissement à ses utilisateurs concernant une nouvelle attaque de phishing ciblant les investissements en crypto-monnaie des investisseurs. Le 28 février, Trezor s'est rendu sur Twitter pour avertir les utilisateurs d'une arnaque active tentant de voler des clés privées en leur demandant de saisir leur phrase de récupération de portefeuille sur un faux site Web. La société a exhorté les utilisateurs à rester vigilants et à ne partager leurs phrases de récupération avec personne.
L'escroquerie par hameçonnage
Trezor Suite a récemment été ciblé dans une campagne de phishing par des attaquants se faisant passer pour Trezor, qui contactent les victimes via des appels téléphoniques, des messages ou des e-mails indiquant que leur compte Trezor a subi une faille de sécurité ou un suspect.
Ces messages invitent les utilisateurs à suivre un lien prétendant « sécuriser » leur appareil ; cependant, Trezor a déclaré avec force que ces messages ne provenaient pas d'eux et devaient être ignorés. De plus, aucune preuve d'une violation de la base de données n'a été trouvée. Par conséquent, toute communication de Trezor ne passera que par les canaux officiels et jamais par des appels téléphoniques ou des SMS non sollicités.
Le 27 février, cette attaque de phishing ciblant les clients de Trezor a été signalée en ligne. L'escroquerie a dirigé les utilisateurs vers un site Web malveillant se faisant passer pour la page officielle de Trezor, leur demandant d'entrer la graine de récupération et de cliquer sur le bouton "Démarrer" pour sécuriser le portefeuille. Le domaine frauduleux contenait une réplique intelligemment conçue du site Web légitime de Trezor.
En cliquant sur le bouton "Démarrer", les utilisateurs seront invités à entrer leur phrase de récupération de portefeuille de crypto-monnaie, également connue sous le nom de clé privée. Les clés privées sont essentielles pour l'auto-conservation, qui est un moyen "d'être votre propre banque" en stockant des crypto-monnaies sur un logiciel non dépositaire ou un portefeuille matériel. La sécurité des clés privées est primordiale, car tout vol de la phrase privera le propriétaire d'origine de ses crypto-monnaies.
Attaques de phishing dans le secteur des crypto-monnaies
Le 26 février, la société métaverse The Sandbox a subi une violation de données qui a entraîné l'envoi d'un e-mail de phishing aux utilisateurs. Cette dernière attaque contre les clients de Trezor n'est pas un incident isolé car le fournisseur de portefeuille avait déjà été la cible d'attaques similaires en avril 2022. À cette époque, les escrocs se faisaient passer pour des représentants de Trezor et demandaient aux utilisateurs de télécharger une fausse application Trezor. Malheureusement, ce type d'attaque n'est pas propre à Trezor. En 2020, le concurrent Ledger a subi une importante violation de données qui a conduit à l'exposition publique d'informations personnelles appartenant à plus de 270 000 de ses clients.