Uma nova campanha de phishing está supostamente mirando usuários da carteira de hardware Ledger por meio de e-mails falsos de notificação de violação de dados.

Pesquisadores de segurança da BleepingComputer relataram que golpistas estão enviando e-mails que parecem vir do endereço de suporte oficial da Ledger para os usuários. De acordo com eles, a mensagem alega que os usuários devem verificar suas frases de recuperação devido a uma violação de segurança.

O golpe teria começado em 15 de dezembro de 2024 e usa a infraestrutura da Amazon AWS para parecer legítimo. Essas tentativas de phishing são projetadas para roubar frases de recuperação de 24 palavras dos usuários, o que daria aos invasores acesso completo aos fundos de criptomoeda das vítimas.

A campanha parece ser particularmente eficaz porque explora preocupações reais decorrentes da violação de dados anterior da Ledger em 2020, um episódio em que as informações do cliente foram realmente expostas.

Campanha de phishing de criptomoedas parece oficial

Os e-mails fraudulentos seguem um padrão cuidadoso projetado para parecer oficial. Eles chegam com a linha de assunto “Alerta de segurança: violação de dados pode expor sua frase de recuperação” e parecem vir de “Ledger support@ledger.com”. No entanto, os investigadores descobriram que os golpistas estão, na verdade, usando a plataforma de marketing por e-mail SendGrid para distribuir essas mensagens.

Quando os usuários clicam no botão “Verify My Recovery Phrase” nesses e-mails, eles são redirecionados por vários estágios. O primeiro redirecionamento leva a um site da Amazon AWS em uma URL suspeita: product-ledg.s3.us-west-1.amazonaws.com. De lá, os usuários são enviados para um site de phishing.

O site de phishing mostra capacidades técnicas claras. Ele inclui um sistema de verificação que verifica cada palavra inserida em relação às 2.048 palavras válidas usadas em frases de recuperação de criptomoedas. Essa validação em tempo real faz com que o site pareça mais legítimo para as vítimas.

Os invasores também adicionaram outro elemento enganoso: o site sempre alega que a frase inserida é inválida para incentivar várias tentativas e provavelmente verificar novamente se receberam as palavras de recuperação corretas.

Versões adicionais desse golpe também foram identificadas. Alguns e-mails alegam ser notificações de atualização de firmware, mas compartilham o mesmo objetivo de roubar frases de recuperação dos usuários para obter acesso às suas carteiras de criptomoedas. Cada palavra inserida é transmitida imediatamente aos servidores dos invasores.

Captura de tela da página falsa tentando roubar a frase de recuperação dos usuários do Legder. Fonte: BleepingComputer O Ledger emitiu vários lembretes de segurança

Desde então, a Ledger emitiu vários lembretes de segurança em resposta a essa campanha de phishing. A empresa enfatiza que nunca solicitará frases de recuperação por e-mail, sites ou qualquer outro meio.

Algumas recomendações de segurança compartilhadas desde então lembraram aos usuários que o único uso legítimo de uma frase de recuperação é durante a configuração inicial de uma nova carteira de hardware ou ao recuperar o acesso a uma carteira existente – e essas ações devem ser executadas apenas no próprio dispositivo físico Ledger.

As recomendações de segurança para que os usuários se protejam também os lembraram de sempre digitar o endereço da web do Ledger (ledger.com) diretamente no navegador em vez de clicar em links de e-mail.

Segundo, os usuários foram aconselhados a tratar qualquer e-mail que alegasse ser da Ledger com extremo cuidado, especialmente aqueles que mencionassem violações de dados ou exigissem ação imediata. Terceiro, os usuários foram lembrados sobre o armazenamento offline de frases de recuperação, de preferência em um local físico seguro, longe de dispositivos digitais.

Para aqueles que já podem ter interagido com e-mails ou sites suspeitos, eles aconselharam ação imediata. Usuários que inseriram sua frase de recuperação em qualquer site devem transferir seus fundos para uma nova carteira com uma nova frase de recuperação imediatamente. A carteira original deve ser considerada comprometida e não deve mais ser usada para armazenar criptomoedas.

Um sistema passo a passo para iniciar sua carreira na Web3 e conseguir empregos bem remunerados em criptomoedas em 90 dias.