Клиенты Ledger сообщали о получении по почте поддельных устройств на замену, предназначенных для фишинга их данных и секретной фразы.
Последствия серьезной утечки данных Ledger продолжают ощущаться почти год спустя. Один участник форума r/ledgerwallet на Reddit, написав под тегом «u/jjrand» и назвав себя одним из тех, кто пострадал от взлома, разместил изображения того, что, похоже, является поддельным кошельком Ledger Nano X, полученным по почте.
Упакованное в, казалось бы, аутентичную коробку, устройство, тем не менее, имело несколько контрольных признаков, которые вызвали подозрения автора. Самое неприятное, что посылка пришла вместе с плохо написанным письмом, якобы подписанным генеральным директором Ledger Паскалем Готье, в котором получателю сообщалось:
«В целях безопасности мы отправили вам новое устройство, и вы должны переключиться на новое устройство, чтобы оставаться в безопасности. Внутри вашего нового ящика есть руководство, которое вы можете прочитать, чтобы узнать, как настроить новое устройство. По этой причине мы изменили структуру нашего устройства. Теперь мы гарантируем, что подобное нарушение больше никогда не повторится», – говорится в письме.
Ящик с предположительно мошенническим устройством Ledger, полученный пользователем reddit yu/jjrand. Источник: Reddit
Мошенническое письмо якобы написанное и подписанное генеральным директором Ledger Паскалем Готье. Источник: Reddit
Помимо письма, u/jirand также получил поддельное руководство с инструкциями по использованию устройства и, что особенно важно, с просьбой, чтобы пользователь ввел фразу для восстановления частного кошелька, якобы для того, чтобы подключить свой кошелек криптовалюты к новому оборудованию.
На основе дополнительных изображений, показывающих печатную плату устройства, загруженных на Reddit, исследователь безопасности Майк Гровер сказал BleepingComputer, что поддельное устройство было взломано:
«Похоже, это просто флешка, привязанная к Ledger с целью доставки какого-то вредоносного ПО. Все компоненты находятся на другой стороне, поэтому я не могу подтвердить, является ли это ТОЛЬКО запоминающее устройство, но […] судя по любительской пайке, это, вероятно, просто готовая мини-флешка, извлеченная из его кожуха».
Говер выделил часть задней части устройства, на которой виден имплант флеш-накопителя, отметив, что «эти 4 провода совмещают одни и те же соединения с USB-портом Ledger».
Задняя часть поддельного устройства Ledger. Источник: Reddit, выделено Майком Говером.
Задняя часть подлинного устройства Ledger. Источник: BleepingComputer
На основе анализа Gover и BleepingComputer выясняется, что устройство предназначено для перехвата введенной пользователем фразы для восстановления, чтобы перенаправить данные на устройство, контролируемое мошенниками, которое они затем могут использовать для кражи активов криптовалюты.
В онлайн-сообщении от 10 мая, которое не процитировано u/jirand, Ledger уже предостерег клиентов от поддельного письма и устройства, заявив, что:
«Поддельное руководство пользователя в коробке Nano просит пользователя подключить устройство к компьютеру. Затем для инициализации устройства пользователя просят ввести свои 24 слова в поддельное приложение Ledger Live. Это мошенничество. Не подключайте устройство к своему компьютеру и никогда не сообщайте свои 24 слова. Ledger никогда не попросит вас поделиться фразой восстановления из 24 слов», – пишет бдительный пользователь.
Хотя предупреждение включено в онлайн-список фишинговых схем, о которых известно компании, неясно, обращалась ли компания напрямую к пользователям, особенно к тем, чьи утекшие данные могут сделать их более уязвимыми для уловки.
Как сообщалось ранее, другие последствия утечки данных включали получение пользователями Ledger электронных писем от вымогателей с угрозами физического насилия или других криминальных нападений. Первоначальная утечка данных произошла в июне и июле 2020 года и включала 1075382 адреса электронной почты от пользователей, подписанных на информационный бюллетень Ledger. В частности, это было связано с утечкой личной информации (включая домашние адреса), связанные с 272 853 заказами аппаратного кошелька.
