Ledger Phishing Scam — угроза для владельцев аппаратных кошельков

ledger

   Поскольку фишинг продолжает оставаться одним из основных методов, используемых хакерами и мошенниками для кражи криптографических данных, мы считаем, что повышение осведомлённости о методах фишинга жизненно важно для криптосообщества.
Обратите внимание, что фишинговые атаки не связаны с какими-либо недостатками в кошельке Ledger или его микропрограмме. Как правило, фишинговых атак нельзя избежать только с помощью технологий – образование и осведомлённость являются ключевыми факторами.
Экспертная команда Kraken Security Labs собрала воедино анализ продолжающейся атаки на клиентов Ledger.

Фиш-письма и тексты
Хакерское сообщение

Многие владельцы кошельков Ledger получали электронные письма или текстовые сообщения, подобные приведённому на изображении, с просьбой загрузить новую версию их программного обеспечения для Ledger. Преступники, скорее всего, используют контактную информацию 9500 клиентов, полученную при взломе Ledger в июне 2020 года. Большинство (если не все) писем пришло от злоумышленника, контролирующего адрес: info@ledgersupport.io.

Сайт-клон

Если жертва нажмёт на ссылку в письме, она будет перенаправлена на фейковую (поддельную) клонированную копию официального сайта Ledger.
Злоумышленники используют несколько перенаправлений и страниц с орфографическими ошибками, чтобы обмануть жертву и подменить страницы по мере их обнаружения.

Схема фишинга

Жертвы в конечном итоге отправляются на страницу загрузки со ссылками на вредоносные версии настольного приложения Ledger Live. На скриншоте ниже обратите внимание, что злоумышленники используют «опечатку» в доменном имени leGDer.com.

Фишинговая страница Ledger Live

Вредоносная программа

Загруженная вредоносная программа будет выглядеть очень похожей на официальное приложение Ledger Live, за исключением того, что приложение попросит жертву ввести их фразу восстановления, а затем украдёт её.

Фишинговая страница Ledger Live

После того как жертва введёт свою фразу восстановления, вредоносная программа отправляет её злоумышленнику по адресу: loldevs.com.
С помощью фразы восстановления злоумышленник может восстановить кошелёк жертвы, а затем отправить эти средства на один из своих кошельков.

Как себя защитить

I. ПОМНИТЕ пять основных правил пользования аппаратным кошельком!

  • Никогда и ни с кем не делитесь своей фразой восстановления из 24 слов, в любой форме.

  • Никогда не храните фразу восстановления на компьютере или смартфоне.

  • Держите лист восстановления в безопасном месте так, чтобы вы не могли потерять или уничтожить его случайно.

  • Доверяйте только тому, что вы видите на экране аппаратного кошелька. Проверьте адрес получения и платёжную информацию на устройстве.

  • Всегда с осторожностью относитесь к информации, отображаемой на экране компьютера или смартфона. Помните, что программное обеспечение может быть скомпрометировано в любое время.

II. Обычные советы по гигиене безопасности

Это стандартные методы социальной инженерии и вредоносного ПО, поэтому применяются обычные советы по гигиене безопасности:

  • Будьте осторожны со ссылками, а также, когда вас попросят установить программное обеспечение.

  • Внимательно изучите подозрительные электронные письма или сообщения.

  • Поддерживайте свой браузер и обновляйте его с помощью последних исправлений.

  • Помните об эффекте неожиданности, избавьтесь от чувства срочности и остерегайтесь «крючка». Злоумышленники используют чувство срочности, поэтому вы можете избежать многих атак, просто подождав несколько дней.

  • Никогда не посещайте сайт, использующий punycode, который используется почти исключительно злоумышленниками. В этой кампании злоумышленник использовал xn--ledgr-9za.com, который браузер автоматически переведёт для отображения акцентных символов, которые обманывают жертву. Чтобы проверить, использует ли сайт punycode, кликните по этой картинке.

Punycode converter

Как остановить мошенников

Лучший способ остановить мошенников — это как можно быстрее уничтожить их сайты. Вот как вы можете помочь:
Поговорите со своими друзьями и своими сообществами и дайте им знать, что они никогда не должны делиться своими 24 словами ни с кем ни при каких обстоятельствах, Ledger никогда не попросит фразу восстановления из 24 слов. Никто никогда не должен спрашивать вас о ваших 24 словах! Это то, что вы должны абсолютно сохранить для себя.
Если вы получили попытку фишинга или если вам известно о незаконном веб-сайте, как описано выше, пожалуйста, сообщите об этом в Google Safebrowsing. Чем больше мы сообщаем об этих незаконных веб-сайтах в Google, тем труднее мошенникам будет обмануть нас.
Если вы получили попытку фишинга, вы можете обратиться в полицию.
Фишинговые мошенничества являются одной из важнейших проблем в киберпреступности.
Когда вы обнаружите мошенничество, сообщите об этом сообществу с хэштэгом: #StopTheScammers

При подготовке статьи использовались материалы сайтов ledger.com и blog.kraken.com.

Если Вам понравилась эта страничка, расскажите о ней своим друзьям (кнопки социальных сетей — внизу страницы). Также вы можете оставить отзыв или поддержать материально.

Добавить комментарий