Повідомляється, що нова фішингова кампанія націлена на користувачів апаратного гаманця Ledger через підроблені електронні листи зі сповіщеннями про порушення даних.
Дослідники безпеки з BleepingComputer повідомили, що шахраї надсилають користувачам електронні листи, які нібито надходять з офіційної адреси служби підтримки Ledger. За їх словами, у повідомленні стверджується, що користувачі повинні перевірити свої фрази відновлення через порушення безпеки.
Повідомляється, що шахрайство почалося 15 грудня 2024 року та використовує інфраструктуру Amazon AWS, щоб виглядати законним. Ці спроби фішингу спрямовані на викрадення фраз відновлення користувачів із 24 слів, які нададуть зловмисникам повний доступ до криптовалютних коштів жертв.
Кампанія видається особливо ефективною, оскільки використовує реальні проблеми, що випливають із попереднього витоку даних Ledger у 2020 році, епізоду, коли інформація про клієнтів була фактично розкрита.
Криптофішингова кампанія виглядає офіційно
Шахрайські електронні листи дотримуються ретельної схеми, розробленої так, щоб виглядати офіційно. Вони надходять із темою «Попередження безпеки: порушення даних може розкрити вашу фразу для відновлення» та, здається, надходять із «Ledger support@ledger.com». Однак слідчі виявили, що шахраї насправді використовують маркетингову платформу електронної пошти SendGrid для розповсюдження цих повідомлень.
Коли користувачі натискають кнопку «Перевірити мою фразу для відновлення» в цих електронних листах, вони перенаправляються на кілька етапів. Перше переспрямування веде на веб-сайт Amazon AWS за підозрілою URL-адресою: product-ledg.s3.us-west-1.amazonaws.com. Звідти користувачі спрямовуються на фішинговий сайт.
Фішинговий сайт демонструє чіткі технічні можливості. Він містить систему перевірки, яка перевіряє кожне введене слово на 2048 дійсних слів, які використовуються у фразах відновлення криптовалюти. Ця перевірка в реальному часі робить сайт більш легітимним для жертв.
Зловмисники також додали ще один оманливий елемент: сайт завжди стверджує, що введена фраза недійсна, щоб заохотити багаторазові спроби та, ймовірно, ще раз перевірити, чи отримали вони правильні слова відновлення.
Також виявлено додаткові версії цієї афери. Деякі електронні листи нібито є сповіщеннями про оновлення мікропрограми, але вони мають ту саму мету — викрасти фрази відновлення користувачів, щоб отримати доступ до їхніх гаманців криптовалюти. Кожне введене слово негайно передається на сервери зловмисників.
Скріншот фейкової сторінки, яка намагається викрасти фразу відновлення користувачів Legder. Джерело: BleepingComputer Ledger опублікував кілька нагадувань щодо безпеки
Відтоді Ledger випустив кілька нагадувань щодо безпеки у відповідь на цю фішингову кампанію. Компанія підкреслює, що ніколи не запитуватиме фрази для відновлення через електронну пошту, веб-сайти чи будь-яким іншим способом.
Деякі рекомендації щодо безпеки, які поширюються з тих пір, нагадують користувачам, що єдине законне використання фрази відновлення – це під час початкового налаштування нового апаратного гаманця або під час відновлення доступу до існуючого гаманця – і ці дії слід виконувати лише на самому фізичному пристрої Ledger. .
Рекомендації щодо безпеки для користувачів, щоб захистити себе, також нагадали їм завжди вводити веб-адресу Ledger (ledger.com) безпосередньо в браузері, а не натискати посилання електронною поштою.
По-друге, користувачам порадили дуже обережно ставитися до будь-яких електронних листів, які нібито надійшли від Ledger, особливо до тих, у яких згадується витік даних або вимагаються негайні дії. По-третє, користувачам нагадали про офлайн-зберігання фраз відновлення, бажано в безпечному фізичному місці подалі від цифрових пристроїв.
Тим, хто, можливо, вже взаємодіяв із підозрілими електронними листами чи веб-сайтами, вони порадили негайно вжити заходів. Користувачі, які ввели свою фразу відновлення на будь-якому веб-сайті, повинні негайно перевести свої кошти на новий гаманець із новою фразою відновлення. Оригінальний гаманець слід вважати скомпрометованим і більше не використовувати для зберігання криптовалюти.
Покрокова система для початку вашої кар’єри в Web3 і отримання високооплачуваної роботи в криптовалюті за 90 днів.