Nová phishingová kampaň údajně cílí na uživatele hardwarových peněženek Ledger prostřednictvím falešných e-mailových oznámení o úniku dat.
Bezpečnostní výzkumníci z BleepingComputer hlásili, že podvodníci posílají e-maily, které se zdají pocházet z oficiální podpory Ledgeru uživatelům. Podle nich zpráva tvrdí, že uživatelé musí ověřit své obnovovací fráze kvůli úniku dat.
Podvod údajně začal 15. prosince 2024 a využívá infrastrukturu Amazon AWS, aby vypadal legitimně. Tyto phishingové pokusy jsou navrženy tak, aby ukradly uživatelské obnovovací fráze o 24 slovech, což by útočníkům dalo úplný přístup k kryptoměnovým prostředkům obětí.
Kampaň se zdá být obzvláště efektivní, protože využívá skutečné obavy vyplývající z předchozího úniku dat Ledgeru v roce 2020, kdy byly skutečně vystaveny informace o zákaznících.
Phishingová kampaň v kryptoměnách se zdá být oficiální.
Podvodné e-maily následují pečlivý vzor navržený tak, aby vypadal oficiálně. Přišly s předmětem „Bezpečnostní upozornění: Únik dat může odhalit vaši obnovovací frázi“ a zdají se pocházet od „Ledger support@ledger.com.“ Nicméně vyšetřovatelé zjistili, že podvodníci ve skutečnosti používají platformu pro e-mailový marketing SendGrid k distribuci těchto zpráv.
Když uživatelé kliknou na tlačítko „Ověřit mou obnovovací frázi“ v těchto e-mailech, jsou přesměrováni přes několik fází. První přesměrování vede na webovou stránku Amazon AWS na podezřelé URL: product-ledg.s3.us-west-1.amazonaws.com. Odtud jsou uživatelé posláni na phishingovou stránku.
Phishingová webová stránka vykazuje jasné technické schopnosti. Obsahuje systém ověřování, který kontroluje každé zadané slovo proti 2 048 platným slovům používaným v obnovovacích frázích kryptoměn. Tato validace v reálném čase dává stránce dojem větší legitimity pro oběti.
Útočníci také přidali další klamný prvek: stránka vždy tvrdí, že zadaná fráze je neplatná, aby povzbudila k opakovaným pokusům a pravděpodobně zkontrolovala, zda obdrželi správná obnovovací slova.
Byly také identifikovány další verze tohoto podvodu. Některé e-maily tvrdí, že jsou oznámení o aktualizaci firmwaru, ale mají stejný cíl - ukrást uživatelské obnovovací fráze, aby získali přístup k jejich kryptoměnovým peněženkám. Každé zadané slovo je okamžitě přeneseno na servery útočníků.
Screenshot falešné stránky, která se snaží ukrást obnovovací frázi uživatelů Ledger. Zdroj: BleepingComputer Ledger vydal několik bezpečnostních upozornění.
Ledger od té doby vydal několik bezpečnostních upozornění v reakci na tuto phishingovou kampaň. Společnost zdůrazňuje, že nikdy nebude požadovat obnovovací fráze prostřednictvím e-mailu, webových stránek nebo jakýmkoli jiným způsobem.
Některá bezpečnostní doporučení sdílená od té doby připomněla uživatelům, že jediným legitimním použitím obnovovací fráze je při prvotním nastavení nové hardwarové peněženky nebo při obnovování přístupu k existující peněžence - a tyto akce by měly být prováděny pouze na fyzickém zařízení Ledger.
Bezpečnostní doporučení pro uživatele, aby se chránili, také připomněla, aby vždy zadávali webovou adresu Ledgeru (ledger.com) přímo do prohlížeče, místo aby klikali na odkazy v e-mailech.
Za druhé, uživatelé byli upozorněni, aby jakýkoli e-mail, který tvrdí, že pochází od Ledger, brali s maximální opatrností, zejména ty, které zmiňují úniky dat nebo vyžadují okamžitou akci. Třetí, uživatelé byli upozorněni na offline ukládání obnovovacích frází, nejlépe na bezpečném fyzickém místě daleko od digitálních zařízení.
Pro ty, kteří již mohli interagovat s podezřelými e-maily nebo webovými stránkami, doporučili okamžitou akci. Uživatelé, kteří zadali svou obnovovací frázi na jakékoli webové stránce, by měli okamžitě převést své prostředky na novou peněženku s novou obnovovací frází. Původní peněženka by měla být považována za kompromitovanou a již by neměla být používána k uchovávání kryptoměn.
Systém krok za krokem pro zahájení vaší kariéry Web3 a získání vysoce placených pracovních míst v kryptoměnách za 90 dní.