Сообщается, что новая фишинговая кампания нацелена на пользователей аппаратного кошелька Ledger посредством поддельных электронных писем с уведомлениями об утечке данных.
Исследователи безопасности из BleepingComputer сообщили, что мошенники рассылают пользователям электронные письма, которые, как представляется, приходят с официального адреса поддержки Ledger. По их словам, в сообщении утверждается, что пользователи должны подтвердить свои фразы восстановления из-за нарушения безопасности.
Сообщается, что мошенничество началось 15 декабря 2024 года и использует инфраструктуру Amazon AWS, чтобы выглядеть законным. Эти попытки фишинга предназначены для кражи фраз восстановления из 24 слов пользователей, которые дадут злоумышленникам полный доступ к криптовалютным средствам жертв.
Кампания кажется особенно эффективной, поскольку она использует реальные опасения, связанные с предыдущей утечкой данных Ledger в 2020 году, эпизодом, когда информация о клиентах была фактически раскрыта.
Криптофишинговая кампания выглядит официальной
Мошеннические электронные письма следуют тщательно продуманному шаблону, призванному выглядеть официальным. Они приходят с темой «Предупреждение о безопасности: утечка данных может раскрыть вашу фразу для восстановления» и, судя по всему, исходят из «Ledger [электронная почта защищена] ». Однако следователи обнаружили, что мошенники на самом деле используют платформу электронного маркетинга SendGrid для распространения этих сообщений.
Когда пользователи нажимают кнопку «Проверить мою фразу для восстановления» в этих электронных письмах, они перенаправляются через несколько этапов. Первое перенаправление ведет на веб-сайт Amazon AWS по подозрительному URL-адресу: product-ledg.s3.us-west-1.amazonaws.com. Оттуда пользователи перенаправляются на фишинговый сайт.
Фишинговый сайт демонстрирует явные технические возможности. Он включает в себя систему проверки, которая сверяет каждое введенное слово с 2048 действительными словами, используемыми во фразах для восстановления криптовалюты. Эта проверка в реальном времени делает сайт более легитимным для жертв.
Злоумышленники также добавили еще один обманчивый элемент: сайт всегда утверждает, что введенная фраза недействительна, чтобы стимулировать несколько попыток и, возможно, перепроверить, что они получили правильные слова для восстановления.
Также были dent дополнительные версии этой аферы. В некоторых электронных письмах утверждается, что это уведомления об обновлении прошивки, но они преследуют одну и ту же цель: украсть фразы восстановления пользователей, чтобы получить доступ к их криптовалютным кошелькам. Каждое введенное слово немедленно передается на серверы злоумышленников.
Ledger выпустил несколько напоминаний о безопасности
С тех пор Ledger выпустил несколько напоминаний о безопасности в ответ на эту фишинговую кампанию. Компания подчеркивает, что никогда не будет запрашивать фразы для восстановления по электронной почте, веб-сайтам или любым другим способом.
Некоторые рекомендации по безопасности, опубликованные с тех пор, напоминают пользователям, что единственное законное использование фразы восстановления — во время первоначальной настройки нового аппаратного кошелька или при восстановлении доступа к существующему кошельку — и эти действия следует выполнять только на самом физическом устройстве Ledger. .
Рекомендации по безопасности для пользователей, чтобы защитить себя, также напоминают им всегда вводить веб-адрес Ledger (ledger.com) непосредственно в браузер, а не нажимать ссылки электронной почты.
Во-вторых, пользователям было рекомендовано с особой осторожностью относиться к любым электронным письмам, утверждающим, что они отправлены от Ledger, особенно к тем, которые упоминают об утечке данных или требуют немедленных действий. В-третьих, пользователям напомнили об автономном хранении фраз восстановления, желательно в безопасном физическом месте, вдали от цифровых устройств.
Тем, кто, возможно, уже взаимодействовал с подозрительными электронными письмами или веб-сайтами, они посоветовали принять немедленные меры. Пользователи, которые ввели свою фразу восстановления на любом веб-сайте, должны немедленно перевести свои средства в новый кошелек с новой фразой восстановления. Исходный кошелек следует считать скомпрометированным и больше не следует использовать для хранения криптовалюты.
С нуля до Web3 Pro: ваш 90-дневный план запуска карьеры
