Издание Bleeping Computer предупреждает, что пользователи получают по почте фейковые криптовалютные кошельки Ledger, которые злоумышленники присылают жертвам от лица компании, якобы для замены старых устройств «в целях безопасности».
Фотографиями одной из таких подделок, фальшивым Ledger Nano X, один из пострадавших поделился на Reddit. Как можно видеть на фото, устройство пришло в брендированной упаковке и сопровождалось плохо написанным письмом, которое гласит, что устройство отправлено пользователю для замены текущего кошелька, который более небезопасен, так как информация о клиентах компании утекла в сеть и была опубликована на хакерском форуме RaidForum.
«В целях безопасности мы отправили вам новое устройство, на которое вы должны перейти, чтобы оставаться в безопасности. В коробке есть руководство, которое вы можете прочитать, чтобы узнать, как настроить новое устройство», — гласит послание.
Хотя письмо написано с ошибками и, возможно, английский язык не является родным для его автора, утечка данных, на которую ссылаются мошенники, действительно имела место. В декабре 2020 года данные 272 853 человек, приобретавших устройства Ledger, действительно появились на RaidForums.
Сама утечка произошла еще летом 2020 года, когда посторонний получил доступ к маркетинговой БД компании. Известно, что скомпрометированная база данных использовалась для отправки подтверждений заказов и рекламных писем, и в основном состояла из email-адресов, но также включала контактные данные и сведения о заказах, в том числе имена и фамилии, почтовые адреса, адреса электронной почты и номера телефонов.
Так как получивший фальшивку пользователь заподозрил подвох, он разобрал присланный Ledger Nano X и опубликовал фотографии странного устройства на Reddit. В сравнении с настоящим кошельком (справа) видно, что мошенническая версия (слева) была модифицирована.
Так, ИБ-эксперт Майк Гровер, также известный под ником _MG_, сообщил журналистам, что злоумышленники явно добавили к кошельку флешку и подключили ее к USB:
«Похоже, это просто флешка, прикрепленная к Ledger с целью доставки какого-то вредоносного ПО. Все компоненты находятся на другой стороне, поэтому я не могу подтвердить, что туда встроено ТОЛЬКО запоминающее устройство, но... Судя по пайке, которая выдает новичка, скорее всего, это лишь готовая мини-флешка без корпуса».
Как можно заметить выше, для наглядности Гровер выделил имплант, подключенный к USB, красным цветом.
В вышеупомянутом руководстве к фальшивому устройству жертве предлагали подключить такой девайс к компьютеру, открыть появившийся диск и запустить приложение, которое шло в комплекте. Затем человек должен был ввести фразу восстановления Ledger, чтобы импортировать кошелек на новое устройство.
Любой человек, кому известна эта фраза, может импортировать кошелек и получить доступ к содержащейся в нем криптовалюте. Поэтому после ввода фразы восстановления она отправлялась злоумышленникам, которые таким образом могли воровать чужие средства.
Нужно отметить, что разработчикам Ledger известно об этой мошеннической схеме: в мае 2021 года компания предупредила о ней пользователей. Разработчики в очередной раз подчеркивали, что фразу для восстановления нельзя сообщать никому и никогда, она должна вводиться лишь непосредственно на устройстве Ledger, которое нужно восстановить. Если устройство не позволяет ввести фразу напрямую, нужно использовать только официальное приложение Ledger Live, загруженное непосредственно с Ledger.com.