Nowa kampania oszustw celuje w użytkowników portfeli sprzętowych Ledger i Trezor, wysyłając listy papierowe do domu, skłaniając do zeskanowania kodu QR, aby przejść do fałszywej strony i ukraść frazę odzyskiwania, a tym samym przejąć pełną kontrolę nad aktywami kryptowalutowymi.
Sztuczka wykorzystująca psychologię "pilności" z terminami i żądaniem obowiązkowej weryfikacji. Użytkownicy muszą zrozumieć: tylko jedno niepoprawne wprowadzenie frazy odzyskiwania może spowodować całkowitą utratę kryptowalut w portfelu.
GŁÓWNA TREŚĆ
Oszuści wysyłają fałszywe listy w imieniu Ledger/Trezor, żądając "obowiązkowej weryfikacji" i kierując użytkowników do zeskanowania kodu QR.
Kod QR prowadzi do strony phishingowej, której celem jest zebranie frazy odzyskiwania, aby przejąć kontrolę nad portfelem i wypłacić pieniądze.
Ledger/Trezor nigdy nie prosi o frazę odzyskiwania; fraza ta powinna być wprowadzana bezpośrednio na urządzeniu portfela sprzętowego.
Użytkownicy Ledger i Trezor są atakowani za pomocą papierowych listów z fałszywym kodem QR.
Oszuści wysyłają fizyczne listy do domów użytkowników, podszywając się pod zespół "bezpieczeństwa/zgodności" Ledger lub Trezor i żądając zeskanowania kodu QR w celu przeprowadzenia weryfikacji, a ostatecznym celem jest skłonienie ofiary do podania frazy odzyskiwania.
Te listy są drukowane na papierze firmowym, który wygląda jak oficjalne powiadomienie. Zawartość często mówi, że użytkownik musi zakończyć "weryfikację" lub "sprawdzić transakcję", aby uniknąć utraty niektórych funkcji lub dostępu do aplikacji zarządzającej portfelem.
Niebezpieczeństwem jest to, że papierowe listy wydają się "bardziej wiarygodne" niż spam emailowy. Oszust zaprojektował scenariusz jak procedurę wewnętrzną, używając terminów takich jak "Weryfikacja autoryzacji", "sprawdzenie transakcji", aby zwiększyć ważność i skłonić odbiorcę do natychmiastowego działania.
Nie wiadomo, jak wybierają ofiary, ale obie firmy miały problemy z wyciekami danych. Incydenty z przeszłości mogą dać oszustom dodatkowe dane, aby wysłać listy na właściwe adresy, do odpowiednich grup użytkowników.
Fałszywe listy wyznaczają termin 15/02, aby wywrzeć presję psychologiczną.
Fałszywy list wyznacza termin 15/02 i ostrzega o utracie funkcji, jeśli nie zostanie zakończony, aby wywrzeć presję czasową na ofiarę, aby zeskanowała kod QR i postępowała zgodnie z instrukcjami bez sprawdzenia autentyczności.
Zgodnie z treścią listu wysłanego do użytkowników Trezor, oszust twierdzi, że "weryfikacja autoryzacji" stanie się obowiązkowa i żąda zakończenia przed 15/02, aby uniknąć utraty niektórych funkcji, powołując się na potrzebę "pełnej synchronizacji" z Trezor Suite.
Podobny list skierowany do użytkowników Ledger został również udostępniony na platformie X, opisujący "obowiązkową weryfikację transakcji" z tym samym terminem. Wspólnym motywem jest zastraszenie "niejasną, ale przerażającą karą", co aktywuje odruch działania.
Na przykład list Trezor przytoczony w artykule ma link: zrzut treści listu na X. Ten link pomaga użytkownikom rozpoznać typowy styl prezentacji i ton, które często występują w kampanii.
Skanowanie kodu QR prowadzi do fałszywej strony phishingowej podszywającej się pod domenę Ledger/Trezor.
Kod QR w liście prowadzi ofiary do fałszywych stron internetowych, naśladujących interfejs Ledger/Trezor i wyświetlających ostrzeżenie "obowiązkowe" w celu skłonienia użytkowników do wprowadzenia frazy odzyskiwania, a następnie przesyłają dane do serwera oszusta.
Raporty wskazują, że strona phishingowa skierowana na Ledger została wyłączona, podczas gdy strona skierowana na Trezor nadal była aktywna i została oznaczona jako oszustwo przez przeglądarki/dostawców zabezpieczeń. Ostrzeżenie typu Chrome często wskazuje, że atakujący mogą oszukać cię w instalacji oprogramowania lub ujawnieniu wrażliwych informacji.
Zanim została oznaczona, ta fałszywa strona wyświetlała powiadomienie, że musisz zakończyć "weryfikację autoryzacji" przed 15/02, aby "być bezpiecznym". Wprowadziła również wyjątek dla niektórych modeli portfeli, które "zostały już skonfigurowane", aby uczynić treść bardziej szczegółową i wiarygodną, chociaż celem nadal było skłonienie użytkowników do wpisania frazy seed.
Strona docelowa często ma przyciski takie jak "Rozpocznij" aby wciągnąć użytkowników w następny krok, z dodatkowym ostrzeżeniem "niepowodzenie w weryfikacji", jeśli nie zostało to zakończone. To technika stopniowego zwiększania poczucia pilności, co sprawia, że ofiary ignorują nietypowe znaki.
Fałszywa strona wymaga wprowadzenia frazy odzyskiwania i przesyła dane przez API do oszusta.
Gdy ofiara wprowadza frazę odzyskiwania na fałszywej stronie, ta fraza jest wysyłana do oszusta (zwykle przez API w tle), co pozwala im na odzyskanie portfela na innym urządzeniu i wypłatę całej kryptowaluty.
Zwykle proces jest maskowany jako "weryfikacja własności urządzenia" lub "aktywacja funkcji". Jednak technicznie rzecz biorąc, fraza odzyskiwania jest "kluczem" do odtworzenia klucza prywatnego, więc każdy, kto ma tę frazę, może przejąć kontrolę nad portfelem.
Po uzyskaniu frazy seed, złośliwe osoby nie potrzebują twojego fizycznego urządzenia. Mogą wprowadzić frazę do innego portfela software/hardware, podpisywać transakcje i przesyłać aktywa do adresu, który kontrolują. Ponieważ transakcje blockchain są trudne do odwrócenia, możliwości odzyskania są zazwyczaj bardzo niskie.
Zasada bezpieczeństwa: Ledger i Trezor nigdy nie proszą o frazę odzyskiwania.
Ledger i Trezor nigdy nie proszą użytkowników o podanie frazy odzyskiwania; fraza odzyskiwania powinna być wprowadzana bezpośrednio na urządzeniu portfela sprzętowego, a nie na stronie internetowej, w kodzie QR, emailach czy formularzach.
Fraza odzyskiwania to termin, który umożliwia użytkownikowi zabezpieczenie dostępu do portfela. Reprezentuje kontrolę nad kluczem prywatnym, więc udostępnienie tej frazy oznacza przekazanie całego portfela innej osobie.
Jeśli otrzymasz list/email/telefon żądający frazy seed, potraktuj to jako oszustwo. Ponadto, bądź czujny na wiadomości wywierające presję czasową, żądające "obowiązkowej weryfikacji" lub kierujące do zeskanowania kodu QR w celu "synchronizacji" portfela.
Minimalne zasady bezpieczeństwa: nie skanuj kodu QR z niezaufanych źródeł, samodzielnie wpisz adres strony z źródła oficjalnego i wykonuj operacje potwierdzające/odzyskujące bezpośrednio na ekranie urządzenia portfela sprzętowego. Jeśli już wprowadziłeś frazę seed, traktuj ten portfel jako skompromitowany i przenieś środki do nowego portfela z nową frazą seed tak szybko, jak to możliwe.
Najczęściej zadawane pytania.
Czy list papierowy żądający zeskanowania kodu QR w celu "weryfikacji portfela" jest prawdziwym powiadomieniem od Ledger/Trezor?
Nie. To typowy znak oszustwa: fałszywe listy, które wywołują uczucie pilności i prowadzą do zeskanowania kodu QR na fałszywej stronie w celu uzyskania frazy odzyskiwania.
Dlaczego wystarczy, że fraza odzyskiwania zostanie ujawniona, aby stracić cały kryptowaluty?
Fraza odzyskiwania może być używana do odzyskania portfela w innym miejscu i uzyskania kontroli nad kluczem prywatnym. Każdy, kto posiada tę frazę, może podpisywać transakcje i przesyłać aktywa bez potrzeby posiadania twojego urządzenia.
Co zrobić natychmiast po zeskanowaniu kodu QR i wprowadzeniu frazy odzyskiwania?
Traktuj stary portfel jako skompromitowany. Utwórz nowy portfel z nową frazą odzyskiwania na zaufanym urządzeniu, a następnie jak najszybciej przenieś wszystkie środki do nowego adresu portfela.
Jak rozpoznać fałszywą stronę phishingową Ledger/Trezor?
Te strony często zmuszają cię do wprowadzenia frazy seed, wyznaczają termin, ostrzegają o utracie funkcji i używają przycisku "Rozpocznij", aby wymusić kontynuację. Ledger/Trezor nie żądają frazy seed na stronie internetowej.
