BTC

Nová phishingová kampaň se údajně zaměřuje na uživatele hardwarových peněženek Ledger pomocí falešných e-mailů s upozorněním na narušení dat.

Bezpečnostní výzkumníci z BleepingComputer oznámili, že podvodníci posílají uživatelům e-maily, které vypadají, že pocházejí z oficiální adresy podpory Ledger. Zpráva podle nich tvrdí, že by si uživatelé měli zkontrolovat své obnovovací fráze kvůli narušení bezpečnosti.

Podvod údajně začal 15. prosince 2024 a používá infrastrukturu Amazon AWS, aby vypadal legitimně. Tyto pokusy o phishing byly navrženy tak, aby ukradly uživatelům 24slovné obnovovací fráze, které by útočníkům poskytly plný přístup k kryptoměnovým fondům obětí.

Kampaň se jeví jako obzvláště účinná, protože se zabývá skutečnými obavami vyplývajícími z předchozího porušení dat Ledger v roce 2020, epizody, ve které byly skutečně odhaleny informace o zákaznících.

Phishingová kampaň na kryptoměny vypadá oficiálně 

Podvodné e-maily se řídí přesným vzorem navrženým tak, aby vypadal jako oficiální. Přichází s předmětem „Bezpečnostní upozornění: Narušení dat může odhalit vaši frázi pro obnovení“ a zdá se, že pochází z „Ledger support@ledger.com“. Vyšetřovatelé však zjistili, že podvodníci ve skutečnosti používali k distribuci těchto zpráv e-mailovou marketingovou platformu SendGrid.

Když uživatelé v těchto e-mailech kliknou na tlačítko „Ověřit frázi pro obnovení“, budou přesměrováni v několika fázích. První přesměrování vede na web Amazon AWS na podezřelé URL: Product-ledg.s3.us-west-1.amazonaws.com. Odtud jsou uživatelé přesměrováni na phishingový web.

Phishingová stránka vykazuje jasný technický potenciál. Zahrnuje ověřovací systém, který kontroluje každé zadané slovo proti 2 048 platným slovům použitým ve frázích pro obnovu kryptoměn. Díky tomuto ověření v reálném čase se stránka obětem jeví jako legitimnější.

Útočníci také přidali další klamavý prvek: stránka vždy tvrdí, že zadaná fráze je neplatná, aby povzbudila více pokusů a možná i zkontrolovala, zda obdrželi správná slova pro obnovu.

Další verze tohoto podvodu byly také zničeny. Některé e-maily prohlašují, že jsou oznámeními o aktualizaci firmwaru, ale sdílejí stejný cíl ukrást fráze pro obnovení uživatelů pro přístup k jejich peněženkám s kryptoměnami. Každé zadané slovo je okamžitě přenášeno na servery útočníků.

Některá bezpečnostní doporučení sdílená od té doby uživatelům připomněla, že jediné legitimní použití fráze pro obnovení je při počátečním nastavení nové hardwarové peněženky nebo při obnovení přístupu ke stávající peněžence – a tyto akce by měly být prováděny pouze na samotném fyzickém zařízení Ledger. .

Za druhé, uživatelům bylo doporučeno, aby s jakýmkoli e-mailem, který tvrdí, že pochází z Ledgeru, zacházeli s extrémní opatrností, zejména s těmi, které naznačují narušení dat nebo vyžadují okamžitou akci. Za třetí, uživatelé byli upozorněni, aby ukládali fráze pro obnovení offline, nejlépe na bezpečném fyzickém místě mimo digitální zařízení.

Těm, kteří již mohli komunikovat s podezřelými e-maily nebo weby, doporučují okamžitě jednat. Uživatelé, kteří zadali svou frázi pro obnovení na jakoukoli webovou stránku, by měli okamžitě převést své prostředky do nové peněženky obsahující novou frázi pro obnovení. Původní peněženka by měla být považována za zranitelnou a neměla by se používat k ukládání kryptoměn.