Archives par mot-clé : escroc

Bitcoin, Cybersécurité

Quand les escrocs de la crypto frappent à votre porte

Les arnaques aux cryptomonnaies ne se contentent plus d’internet : des escrocs envoient désormais des lettres physiques aux domiciles de leurs victimes, exploitant des fuites de données pour tenter de voler des portefeuilles numériques.

Depuis quelques années, les fraudes liées aux cryptomonnaies se multiplient à une vitesse alarmante, profitant de l’anonymat et de la complexité technique de cet univers encore jeune. Mais en 2025, un nouveau palier inquiétant a été franchi : des victimes reçoivent désormais des lettres imprimées, livrées directement dans leur boîte aux lettres, imitant des communications officielles de la société Ledger, leader des portefeuilles matériels. Cette méthode, qui rappelle les arnaques postales d’un autre temps, témoigne de la créativité sans cesse renouvelée des cybercriminels, et de l’urgence à mieux protéger les données personnelles. Au-delà du monde numérique, c’est notre sécurité physique qui est désormais menacée, soulignant les failles béantes dans la protection de la vie privée des utilisateurs.

L’image aurait pu prêter à sourire si elle n’était pas aussi inquiétante. Sur son compte X (anciennement Twitter), l’influenceur crypto Jacob Canfield a partagé des photos de lettres prétendument envoyées par Ledger. Ces documents, présentés avec un ton formel et un graphisme quasi professionnel, réclament la « validation obligatoire du portefeuille » à la suite d’une soi-disant « mise à jour de sécurité critique ». L’objectif est clair : inciter le destinataire à scanner un code QR et, dans un second temps, à renseigner sa phrase de récupération à 24 mots, clef absolue d’un portefeuille Ledger. Une fois cette phrase divulguée, les criminels n’ont plus qu’à transférer les fonds.

« Si quelqu’un vous demande votre phrase de récupération, c’est une arnaque », martèle Ledger.

La société française, pionnière de la sécurité crypto grâce à ses portefeuilles physiques réputés inviolables, a rapidement réagi sur les réseaux sociaux. Elle a confirmé l’existence de ces lettres frauduleuses et a réitéré qu’elle ne solliciterait jamais, sous aucune forme, la phrase de récupération de ses clients. Car contrairement à des comptes bancaires traditionnels, une fois les fonds détournés depuis un portefeuille crypto, il est impossible de revenir en arrière. Il n’existe ni institution centrale pour bloquer la transaction, ni recours juridique immédiat : la perte est définitive.

Si ces lettres ont pu être envoyées, c’est notamment en raison d’une faille ancienne mais dont les effets continuent de se faire sentir. En juillet 2020, une importante fuite de données a exposé près d’un million d’adresses e-mail de clients Ledger. Pire encore, les noms, adresses postales, numéros de téléphone et détails de commande de 9 500 clients ont été rendus publics. Un trésor pour des escrocs patients, capables de concevoir des campagnes d’hameçonnage ultra ciblées plusieurs années après les faits.

Une faille de 2020 alimente encore aujourd’hui des arnaques postales, prouvant que les données personnelles volées ne périment jamais pour les cybercriminels.

Veille ZATAZ : adoptée et approuvée par 96 % de nos abonnés !

La nouveauté, cette fois, c’est le retour à un support physique, à rebours des arnaques classiques par mail ou message instantané. Cette stratégie exploite un biais psychologique puissant : une lettre tangible paraît plus authentique, plus officielle, surtout lorsqu’elle arrive dans un contexte de panique ou de méfiance généralisée envers les plateformes numériques. D’autant que ces lettres usurpent le ton rassurant et technique habituel de Ledger, avec des logos identiques et un vocabulaire spécifique destiné à piéger même les utilisateurs les plus aguerris.

L’affaire survient alors que le monde des cryptomonnaies traverse une période d’instabilité. Selon un rapport publié par la plateforme de bug bounty Immunefi, les pertes enregistrées dans l’écosystème crypto ont explosé au cours des quatre premiers mois de 2025, atteignant 1,7 milliard de dollars (environ 1,58 milliard d’euros). Ce montant est quatre fois supérieur aux 420 millions de dollars (environ 391 millions d’euros) perdus à la même période en 2024. Cette explosion s’explique en grande partie par le piratage spectaculaire de la plateforme Bybit, qui a à lui seul entraîné un préjudice estimé à 1,5 milliard de dollars (1,39 milliard d’euros).

Mais au-delà de ce cas emblématique, le mois d’avril 2025 a vu se multiplier les attaques. Quinze incidents majeurs ont été recensés, avec des pertes s’élevant à 92 millions de dollars (environ 85 millions d’euros), soit une hausse de 27 % par rapport à avril 2024 et plus du double de celles de mars 2025. La majorité de ces pertes sont dues à des piratages, et non à des escroqueries ou erreurs humaines, ce qui souligne le niveau de sophistication croissant des attaques.

En avril 2025, les attaques informatiques ont causé à elles seules plus de 92 millions de dollars de pertes dans le secteur crypto, un record alarmant.

Dans ce contexte, les lettres frauduleuses envoyées au nom de Ledger prennent une dimension encore plus menaçante. Elles représentent une nouvelle frontière dans l’ingénierie sociale, exploitant à la fois la confiance, la peur de la perte et le manque d’information. Car malgré l’expérience croissante des utilisateurs, beaucoup restent vulnérables à des sollicitations bien ficelées, d’autant plus quand elles s’adossent à des éléments tangibles et personnalisés.

Face à ces menaces, les recommandations des experts restent simples mais fondamentales. Ne jamais transmettre sa phrase de récupération, même en cas de doute. Vérifier directement les informations via les canaux officiels. Et surtout, se méfier de tout contact non sollicité, qu’il soit numérique ou physique. Car dans l’univers de la cryptomonnaie, chaque utilisateur est aussi son propre garant, son propre coffre-fort.

La question qui se pose aujourd’hui est de savoir si les régulateurs et les plateformes technologiques prendront la mesure de ce changement de paradigme. Car tant que les données personnelles continueront de circuler dans la nature, les escrocs disposeront d’un arsenal sans fin pour piéger leurs cibles, peu importe la forme que prennent leurs attaques. Le courrier frauduleux n’est qu’un nouvel avatar d’un problème bien plus vaste : la fragilité de notre identité numérique, et désormais physique.

Vous voulez suivre les dernières actualités sur la cybersécurité ? Pour rester informé sur les enjeux de cybersécurité, abonnez-vous à notre newsletter.

Argent, Arnaque, Cybersécurité, escroquerie, ID, Identité numérique, Particuliers, Scam, Securite informatique, Social engineering, Vie privée

Vous avez été piraté, vous avez 48h pour payer

Un commentaire

Depuis plusieurs jours, des courriels diffusés en masse menacent les internautes d’une diffusion de documents compromettant les concernant. Un escroquerie 2.0 qui, de part son ampleur, fait de gros dégâts dans la tête des récepteurs de la missive.

L’escroquerie qui fait trembler dans les chaumière arrive dans votre boite mail ! Le courrier électronique arrive dans les boites mails sous divers noms. Des inconnus ou celui du récepteur du courriel. Ce dernier cas fait son petit effet sur le lecteur. La lettre indique que la boîte mail a été piratée et qu’elle a permis de communiquer ce message. « Vous avez 48 heures pour effectuer le paiement. » explique le mail. Un maître chanteur, comme le révèle ZATAZ.COM, qui profite de la crédulité des gens, et la peur que peut provoquer son message. Le courrier est divisé en deux partie. La première, une image. Cette image contient la grande majorité de la menace. L’escroc utilise cette méthode pour contrer les logiciels antispams.

Du bluff, mais qui fait mouche !

La seconde partie termine la menace. Un texte qui change. Ici aussi, quelques petites modifications pour paraître légitime aux yeux des outils de sécurité informatique. « J’ai un traqueur dans ce mail, et en ce moment je sais que vous avez lu ce message » enchéri l’escroc. Le traqueur, une image collé dans le mail. Il ne dirige nul part. Du bluff ! « Si je n’obtiens pas les Bitcoins, j’enverrai certainement l’enregistrement vidéo à tous vos contacts, y compris vos parents, vos collègues, et ainsi de suite. Cela dit, si je reçois le paiement, je détruirai la vidéo immédiatement. » L’escroc annonce avoir découvert que le lecteur se rendait sur des sites pornographiques et qu’il aurait été filmé. Ici aussi, du bluff. ZATAZ a mis en place un numéro d’appel pour rassurer les internautes ayant reçu le courriel.

Une cyberattaque qui démontre les possibilités malveillantes des escrocs du web.

Argent, Arnaque, Cybersécurité, escroquerie, Justice, loi, Particuliers, santé, Social engineering

Escroquerie à la mort

Connaître le décès d’une personne permet à des escrocs d’appeler les familles pour espérer les piéger.

Des escrocs se font passer pour des associations de généalogie afin de soutirer de l’argent aux familles d’un défunt. L’idée est malheureusement terriblement efficace. D’abord, l’escroc collecte les identités des personnes décédées. Il suffit de faire une revue de presse des quotidiens locaux, voir des journaux municipaux, pour trouver les informations de base.

Ensuite, les voleurs font un environnement de la famille. Les escrocs inscrivent toutes les informations qui serviront ensuite à convaincre l’interlocuteur qu’ils contacteront par téléphone. Ils expliquent être mandatés par un avocat, un notaire ou une association de généalogie, comme ces cas révélés en Picardie.

L’excuse des voleurs, le défunt aurait souscris une assurance vie. Bien entendu, si le cas vous touche, ne fournissez AUCUNES informations bancaires. Demandez un numéro de téléphone pour rappeler. Attention ! Les escrocs peuvent vous fournir un 0899 (numéro surtaxés). Refusez aussi !

ios, Justice, Sécurité, Smartphone, Téléphonie

Deux rançonneurs d’iPhone sous les verrous

Un commentaire

La section K, les renseignements russes, ont mis la main sur ce qui semble être les rançonneurs d’iPhone qui avaient defrayé la chronique, fin mai. Pour rappel, le rançongiciel pour iPhone bloquait les précieux smartphones d’Apple. Le logiciel malveillant bloquait les smartphones et réclamait de l’argent.

Le Ministère de l’Intérieur Russe vient d’indiquer que des suspects avaient été arrêtés dans cette affaire. Les suspects ont été arrêtés dans le sud de Moscou. Ils sont âgés de 23 et 16 ans. Le service presse du département K du Ministère de l’Intérieur russe indique que les deux hommes ont été incarcérés.

Lors de la perquisition, du matériel informatique, des cartes SIM et des téléphones utilisés dans des activités illégales ont été saisis. Ils risquent quelques années de prison.

Entreprise, Fuite de données, Social engineering

Quand l’escroc informatique se prend pour un mentaliste

Le CERT-FR, cellule gouvernementale en charge de la sécurité informatique des infrastructures étatiques, a constaté une recrudescence de techniques d’ingénierie sociale (Social Engineering) où un escroc se fait passer pour un agent appartenant à un service de support technique.

Comme le rappel le CERT France, deux méthodes principales sont employées pour contacter une victime potentielle. D’abord l’appel à froid « cold call ». L’escroc appelle directement sa victime en prétendant être le technicien d’un service de support informatique. Il utilise alors des techniques d’ingénierie sociale en expliquant à la victime que son ordinateur est sujet à des comportements suspects. Une technique vieille comme le monde. Kevin Mitnick, hacker mythique, s’en était fait une spécialité dans les années 80. En janvier dernier, une société du sud de la France se voyait « détourner » pas moins de 17 millions d’euros via l’ingénierie sociale.

Autre possibilité, la publicité en ligne. Certains pirates utilisent les moteurs de recherche pour référencer de fausses entreprises de support informatique. Un utilisateur à la recherche d’une solution à un problème technique pourra être tenté de rentrer en contact avec ces fausses sociétés. La victime mise en confiance est incitée à payer pour une assistance ou un produit. Dans certains cas, le prétendu technicien peut faire installer à l’utilisateur ciblé des logiciels de prise de contrôle à distance (tel que LogMeIn) sur ses équipements.

Depuis peu, le même type d’escroquerie a été constaté pour les terminaux mobiles. Le manque de connaissances, de formations, d’informations et la naïveté des victimes permet aux voleurs de prendre le contrôle de l’ordinateur, de la connexion ou d’un terminal. Nous vous parlions, l’année dernière, de faux antivirus commercialisés en Belgique. « Un technicien de support informatique légitime, explique le CERT France, n’est pas censé amener l’utilisateur à installer un quelconque outil supplémentaire sur un poste de travail, ni à lui demander d’identifiants et de mots de passe d’authentification« .

Pour s’en protéger, il suffit de faire preuve de la plus grande prudence vis-à-vis des appels téléphoniques provenant de services de support alors que ceux-ci n’ont pas été sollicités. Ne pas hésiter à être « paranoïaque et solliciter, dans un cadre professionnel, uniquement les services de supports internes à l’entreprise ou à l’organisation.