يقال إن حملة تصيد جديدة تستهدف مستخدمي محفظة أجهزة Ledger من خلال رسائل البريد الإلكتروني المزيفة لإشعار خرق البيانات.
باحثون أمنيون في BleepingComputer أن المحتالين يرسلون رسائل بريد إلكتروني يبدو أنها واردة من عنوان الدعم الرسمي لشركة Ledger إلى المستخدمين. ووفقًا لهم، تدعي الرسالة أنه يجب على المستخدمين التحقق من عبارات الاسترداد الخاصة بهم بسبب حدوث خرق أمني.
وبحسب ما ورد بدأت عملية الاحتيال في 15 ديسمبر 2024، وتستخدم البنية التحتية لـ Amazon AWS لتبدو شرعية. تم تصميم محاولات التصيد الاحتيالي هذه لسرقة عبارات الاسترداد المكونة من 24 كلمة للمستخدمين، والتي من شأنها أن تمنح المهاجمين إمكانية الوصول الكامل إلى أموال العملات المشفرة الخاصة بالضحايا.
تبدو الحملة فعالة بشكل خاص لأنها تستغل المخاوف الحقيقية الناجمة عن خرق بيانات ليدجر السابق لعام 2020، وهي الحلقة التي تم فيها الكشف عن معلومات العميل بالفعل.
تبدو حملة التصيد الاحتيالي للعملات المشفرة رسمية
تتبع رسائل البريد الإلكتروني الاحتيالية نمطًا دقيقًا مصممًا لتبدو رسمية. تصل مع سطر الموضوع "تنبيه أمني: قد يؤدي خرق البيانات إلى كشف عبارة الاسترداد الخاصة بك" ويبدو أنها تأتي من "Ledger support@ledger.com ". ومع ذلك، وجد المحققون أن المحتالين يستخدمون بالفعل منصة التسويق عبر البريد الإلكتروني SendGrid لتوزيع هذه الرسائل.
عندما ينقر المستخدمون على زر "التحقق من عبارة الاسترداد" في رسائل البريد الإلكتروني هذه، تتم إعادة توجيههم عبر مراحل متعددة. تؤدي عملية إعادة التوجيه الأولى إلى موقع ويب Amazon AWS على عنوان URL مشبوه: Product-ledg.s3.us-west-1.amazonaws.com. ومن هناك، يتم إرسال المستخدمين إلى موقع التصيد الاحتيالي.
يُظهر موقع التصيد الاحتيالي إمكانات تقنية واضحة. يتضمن نظام تحقق يقوم بفحص كل كلمة تم إدخالها مقابل 2048 كلمة صالحة مستخدمة في عبارات استرداد العملة المشفرة. وهذا التحقق في الوقت الفعلي يجعل الموقع يبدو أكثر شرعية للضحايا.
أضاف المهاجمون أيضًا عنصرًا خادعًا آخر: يدعي الموقع دائمًا أن العبارة المدخلة غير صالحة لتشجيع المحاولات المتعددة وربما للتحقق مرة أخرى من أنهم تلقوا كلمات الاسترداد الصحيحة.
تم أيضًا dent إصدارات إضافية من عملية الاحتيال هذه. تدعي بعض رسائل البريد الإلكتروني أنها إشعارات لتحديث البرامج الثابتة، لكنها تشترك في نفس الهدف المتمثل في سرقة عبارات الاسترداد الخاصة بالمستخدمين للوصول إلى محافظ العملات المشفرة الخاصة بهم. يتم نقل كل كلمة يتم إدخالها على الفور إلى خوادم المهاجمين.
قامت بعض توصيات الأمان التي تمت مشاركتها منذ ذلك الحين بتذكير المستخدمين بأن الاستخدام الشرعي الوحيد لعبارة الاسترداد هو أثناء الإعداد الأولي لمحفظة أجهزة جديدة أو عند استعادة الوصول إلى محفظة موجودة - ويجب تنفيذ هذه الإجراءات فقط على جهاز Ledger الفعلي نفسه .
ثانيًا، نُصح المستخدمون بالتعامل مع أي بريد إلكتروني يُدعى أنه من Ledger بحذر شديد، خاصة تلك التي تشير إلى خروقات البيانات أو التي تتطلب اتخاذ إجراء فوري. ثالثًا، تم تذكير المستخدمين بتخزين عبارات الاسترداد دون الاتصال بالإنترنت، ويفضل أن يكون ذلك في موقع فعلي آمن بعيدًا عن الأجهزة الرقمية.
بالنسبة لأولئك الذين ربما تفاعلوا بالفعل مع رسائل البريد الإلكتروني أو مواقع الويب المشبوهة، فقد نصحوا باتخاذ إجراء فوري. يجب على المستخدمين الذين أدخلوا عبارة الاسترداد الخاصة بهم في أي موقع ويب تحويل أموالهم إلى محفظة جديدة تحتوي على عبارة استرداد جديدة على الفور. يجب اعتبار المحفظة الأصلية معرضة للخطر ويجب عدم استخدامها لتخزين العملات المشفرة.