БТД
Сообщается, что новая фишинговая кампания нацелена на пользователей аппаратного кошелька Ledger с помощью поддельных электронных писем с уведомлениями об утечке данных.
Исследователи безопасности из BleepingComputer сообщили, что мошенники рассылают пользователям электронные письма, которые кажутся исходящими с официального адреса поддержки Ledger. По их словам, в сообщении утверждается, что пользователям следует проверить свои фразы восстановления из-за нарушения безопасности.
Сообщается, что мошенничество началось 15 декабря 2024 года и использует инфраструктуру Amazon AWS, чтобы выглядеть законным. Эти попытки фишинга были направлены на кражу фраз восстановления из 24 слов пользователей, которые давали злоумышленникам полный доступ к криптовалютным средствам жертв.
Кампания кажется особенно эффективной, поскольку она учитывает реальные проблемы, возникшие в результате предыдущей утечки данных Ledger в 2020 году, когда информация о клиентах была фактически раскрыта.
Фишинговая кампания по криптовалюте выглядит официально
Мошеннические электронные письма следуют четкому шаблону, призванному выглядеть официальным. Оно приходит с темой «Предупреждение о безопасности: нарушение данных может раскрыть вашу фразу восстановления» и, судя по всему, исходит от «Ledger support@ledger.com». Однако следователи обнаружили, что мошенники на самом деле использовали платформу электронного маркетинга SendGrid для распространения этих сообщений.
Когда пользователи нажимают кнопку «Проверить фразу восстановления» в этих электронных письмах, они перенаправляются через несколько этапов. Первое перенаправление ведет на сайт Amazon AWS по подозрительному URL-адресу: Product-ledg.s3.us-west-1.amazonaws.com. Оттуда пользователи перенаправляются на фишинговый сайт.
Фишинговый сайт демонстрирует явный технический потенциал. Он включает в себя систему проверки, которая сверяет каждое введенное слово с 2048 действительными словами, используемыми во фразах для восстановления криптовалюты. Эта проверка в реальном времени делает сайт более законным для жертв.
Злоумышленники также добавили еще один элемент обмана: сайт всегда утверждает, что введенная фраза недействительна, чтобы стимулировать несколько попыток и, возможно, перепроверить, что они получили правильные слова для восстановления.
Дополнительные версии этой аферы также были исправлены. В некоторых электронных письмах утверждается, что это уведомления об обновлении прошивки, но они преследуют одну и ту же цель — украсть фразы восстановления пользователей для доступа к их криптовалютным кошелькам. Каждое введенное слово мгновенно передается на серверы злоумышленников.
Некоторые рекомендации по безопасности, опубликованные с тех пор, напоминают пользователям, что единственное законное использование фразы восстановления — во время первоначальной настройки нового аппаратного кошелька или при восстановлении доступа к существующему кошельку — и эти действия следует выполнять только на самом физическом устройстве Ledger. .
Во-вторых, пользователям было рекомендовано с особой осторожностью относиться к любым электронным письмам, якобы отправленным от Ledger, особенно к тем, которые указывают на утечку данных или требуют немедленных действий. В-третьих, пользователям напомнили о необходимости хранить фразы восстановления в автономном режиме, желательно в безопасном физическом месте, вдали от цифровых устройств.
Тем, кто, возможно, уже взаимодействовал с подозрительными электронными письмами или веб-сайтами, рекомендуется принять незамедлительные меры. Пользователи, которые ввели свою фразу восстановления на любом веб-сайте, должны немедленно перевести свои средства в новый кошелек, содержащий новую фразу восстановления. Исходный кошелек следует считать уязвимым и не следует использовать для хранения криптовалют.
