22:47
7/11/2020

Wygląda na to, że ktoś uruchomił kampanię phishingową, wycelowaną w posiadaczy sprzętowego portfela kryptowalut Ledger, którego producent tydzień temu zaliczył wyciek danych klientów.

W ramach trwającego właśnie ataku możecie otrzymać wiarygodnie wyglądające, ale fałszywe, powiadomienie SMS (z Waszym prawdziwym imieniem i nazwiskiem), informujące o “transakcji” której rzekomo “dokonaliście”, ale którą na szczęście możecie “odwołać”.

You just sent 0.0256005 BTC(0/22 confirmations). Please visit ledger.org[.]pl within 45 mins if you need to cancel.

SMS zachęca do odwiedzenia strony ledger.org[.]pl (47.254.178.146, rejestracja: 30.10.2020), która przekierowuje na adres lẹdgėr[.]com (czyli xn--ldgr-xva7266b.com):

Strona nie jest rozpoznawana jako złośliwa przez przeglądarki i niezbyt dobrze prowadzi “ofiarę” za rękę, a w dodatku działa dość wolno. Jest więc szansa, że choć atak wygląda wiarygodnie w pierwszej fazie i został zrealizowany “na weekend” to niedopracowany landing page podstawiony przez przestępców uchroni ludzi przed stratami finansowymi.

PS. Tak, z Ledgera wyciekły Wasze dane. Firma informowała o tym w lipcu. A dowód mogliście zaobserwować 29 października w e-mailu, którego mogliście przeoczyć bo wielu osobom …wpadł on do spamu, gdyż był on w rzeczywistości e-mailem od atakujących, kierującym do złośliwego oprogramowania :D

OTO FAŁSZYWY E-MAIL:
Dear client,
We regret to inform you that Ledger has experienced a security breach affecting approximately 86,000 of our customers and that the wallet associated with your e-mail address (adres e-mail) is within those affected by the breach.
Namely, on Wednesday, October 28th 2020, our forensics team has found several of the Ledger Live administrative servers to be infected with malware.
At this moment, it’s technically impossible to conclusively assess the severity and the scope of the data breach. Due to these circumstances, we must assume that your cryptocurrency assets are at risk of being stolen.
If you’re receiving this e-mail, it’s because you’ve been affected by the breach. In order to protect your assets, please download the latest version of Ledger Live and follow the instructions to set up a new PIN for your wallet.
Sincerly,
Ledger

Dane z Ledgera wykorzystane w tej kampanii wyciekły prawdopodobnie w lipcu. 29 lipca firma informowała o incydencie związanym z bug bounty, w wyniku którego “poprawiła bezpieczeństwo” (ten e-mail jest prawdziwy):

On the 14th of July 2020, a computer researcher that participated in our bug bounty program notified us of a potential data breach on the Ledger website. We immediately fixed the breach after receiving the researcher’s report and undertook an internal and external investigation of the situation. While conducting the investigation, we discovered an unauthorized third party had gained access to customer information.
What personal information was involved?. Contact and order details were involved. This is mostly the email address of our customers. Further to investigating the situation we have also been able to establish that, for a subset of customers were also exposed: first and last name, postal address, phone number and ordered products. Due to the scope of this breach and our commitment to our customers, we have decided to inform all of our customers about this situation.

Dzisiejszy atak dowodzi tego, że włamywacze pozyskali co najmniej Wasze imię i nazwisko i numer telefonu.


Aktualizacja 7.11.2020, 23:30
Doprecyzowaliśmy, nie do końca jasny, jak zwrócili nam uwagę czytelnicy, fragment artykułu dot. e-maila z 29 października.

Jeszcze raz: incydent, w którym pozyskano dane klientów Ledgera miał miejsce w lipcu, a atakujący pozyskane dane “monetyzowali” w październiku kampanią e-mailową i teraz w listopadzie, SMS-ami.

Przeczytaj także:



24 komentarzy

Dodaj komentarz
  1. Też dostałem dziś. Dziwnym trafem chwilę przed SMS’em na twitterze dodał mnie do followersów profil https://twitter.com/sports_techbiz

  2. Dostałem tego sms’a – Chrome nie ładuje strony, Firefox wywala błąd 500 Interial Server Error. Edge zgłasza stronę jako niebezpieczną.

  3. Potwierdzam, że przychodzi taki SMS.

  4. Nie wiem, czy Wasz komentarz do rzekomego maila z Ledgera “PS. Tak, z Ledgera wyciekły Wasze dane. Firma informowała o tym 29 października, e-mailem, którego mogliście przeoczyć bo wielu osobom …wpadł on do spamu :D” jest ironiczny czy nie, ale ten mail również był phishingiem, a to jasno nie wynika z Waszego komentarza, przynajmniej dla mnie. Zacząłem się zastanawiać, czy Ledger Live faktycznie nie został dotknięty.
    Ja z Waszego artykułu zrozumiałem, że Ledger o tym faktycznie informował mailowo. To nie jest prawdą. Link w tym mailu prowadził do fałszywej strony, więc słusznie trafiał do spamu.
    W przypadku informacji z 29 lipca jest to fakt i firma obecnie pisze o tym na swojej stronie.
    Tak czy inaczej najważniejszą zasadą jest taka: NIGDY I NIKOMU, NAWET SWOJEJ MATCE, ŻONIE, KOCHANCE, PAPIEŻOWI, A TYM BARDZIEJ JAKIEKOLWIEK STRONIE WWW NIE PODAWAĆ 24-WORDS RECOVERY PHRASE.

    • Słuszna uwaga. Doprecyzowane.

  5. Ja również dostałem takiego smsa. Natomiast info o wycieku nie dostałem albo przeoczyłem w spamie. Jednego nie rozumiem gdyż prostym człowiekiem jestem – skoro to sprzętowy klucz, to dlaczego moje assety są zagrożone? Czy ktoś mi to może wytłumaczyć?

    • Oszusci proszą o dane do odzyskania portfela czyli 24/25 słowa które ustalasz przy tworzeniu portfela.
      Odzyskają cały twój portfel, przeleją dalej i zostaje z niczym.

      Ta kampania dotyczy klientów którzy zamówili ledgera na oficjalnej stronie, baza im się zgubiła i teraz leci pishing.

    • > skoro to sprzętowy klucz, to dlaczego moje assety są zagrożone? Czy ktoś mi to może wytłumaczyć?

      Spokojnie, twoje zasoby są bezpieczne. Ale: możesz się nabrać na ten link i podać swój klucz prywatny (tę listę słów którą ledger kazał Ci zapisać na karteczce) i wtedy po oszczędnościach.

      Kiedy już się ogarnie jak porządnie fizycznie zabezpieczyć swoje dane wrażliwe, to najłatwiejszym krokiem do ich pozyskania jest wykorzystanie nieświadomości użytkowników.

      Choć w przypadku Ledgera atakujący nie trafili najlepiej. Bo podejrzewam, że jeśli ktoś decyduje się na klucz sprzętowy, to rozumie zagrożenie wycieku klucza prywatnego i trzyma jego kopię z dala od przypadkowych formularzy i niesprawdzonego firmware’u na dziwnych stronach.

  6. Potwierdzam, że taki sms przyszedł. Od razu wydał się podejrzany. Dobrze że sprawa świetnie została opisana w Państwa artykule.

  7. będą zagrożone, gdy postąpisz według instrukcji tego smsa i wpiszesz swój seed na fałszywej stronie.
    Nigdzie w internecie nie wpisujemy swojego seeda

  8. Dostałem tego smsa. Byłem zaspany i zapomniałem już o wcześniejszym wycieku danych. Zdenerwowałem się a mam problemy z sercem. Sprawdziłem tą stronkę która miała dziwny litery w adresie ale w pierwszej chwili nie zwróciłem na to uwagi. Potem pomyślałem, że jak transakcja jest rozpoczęta to nkt już jej nie cofnie. Wiec nie może to być sms od ledgera. Wziąłem tabletkę na nerwy i poszedlem spać. Ledger powinien wykasować wszystkie numery telefonów ze swojej bazy. Im są one niepotrzebne. Ja już od jakiegoś czasu mam specjalny numer telefonu na kartę, który wszędzie podaję a potem 99% czasu trzymam wyłączony.

  9. Potwierdzam, że też otrzymałem tego SMSa ale wydał mi się podejrzany i go zignorowałem.

  10. Czy ktoś, ktokolwiek może potwierdzić, że dostał od Ledgera informację o wycieku?

    Ja nic nie dostałem.

  11. Uwaga!! Do mnie też przyszedł wczoraj podobny SMS, ale na szczęście w porę wyczaiłem scam, ale słyszałem z niektórych grup na fb, że część osób niestety straciła środki w ten sposób..

    Email jaki dostałem wcześniej od ledger w dniu: 29 lip 2020, 09:20 (ten jest oficjalny)

    http://links.ledger.com/e/evib?_t=62c6a4ea5484430dbb7571e36c7bde50&_m=090b2747957042d0b2f82615cf1468f0&_e=TEg2_oFk3jxOJa9npnuKb6C3Wll-tXkspkN5jyXo0Bp7XZXQET8ELLbCEGV4soyB-KhzlKe1QP5aCi7JJUW_jIfH1uKRXq9mBYySHOSvic_Pu6xJ4F_6cB6thqqnypQS

    I teraz uwaga! Bo atakują również drogą mailową! Wysyłają bardzo podobny mail do tego wyżej z informacją, że wasze dane zostały wykradzione. Następnie karzą pobrać program Ledger Live z jakieś fake-owej strony i po instalacji w systemie liczą na to, że wpiszecie wasze 24 słowa tzw. recovery phrase (Program bardzo przypomina ten oryginalny!!) Więc uważajcie też na podejrzane maile od Ledger!

  12. Hejka, ta sytuacja stawia Ledgera w bardzo złym świetle, skoro doszło do takiego wycieku to kto wie czy firma będzie się w stanie obronić przed atakami na oficjalne oprogramowanie. Wiecie jak wygląda procedura aktualizacji oprogramowania (wdrażania aktualizacji) w tej firmie? Jak myślicie jakie jest prawdopodobieństwo ataku z wewnątrz firmy?

  13. również otrzymałem tego typu informacje drogą emailową. Miałem już przygodę 2 lata temu iż pobrałem jakiś plik o nazwie vagex.exe. cokolwiek to bylo przechwycilo wszsystkie moje hasla: moje konto z paypal zostało wyczyszczone na kwote 17 tys zł(wtedy nie było autoryzacji sms) oraz 2 portfele w btc oraz konto payza(tam były drobne kwoty) nie mniej jednak atak przebiegł dla przestepcow pomyślnie. Nadmienie iz po dzien dzisiejszy mam informacje o podejrzanym logowaniu. zgłosiłem prawe na policje, aczkolwiek po dzien dzisiejszy nie udalo sie nic zrobic(uzywaja torbrowser i maja rozne adresy ip) a ponadto po 2mc otrzyalem pismo z policji ze sprawa zostaje umożona ze wzgledu na brak dowodow. żyjemy w kraju ktory polska sie nazywa

  14. Też dostałem coś takiego. Olałem i teraz widzę, że dobrze zrobiłem.

  15. Proszę mi powiedzieć, bo wczoraj dostałem sms-a i ściągnąłem aplikację ledger live desktop i zaktualizowałem ledgera do firmware 1.6.1 i nie wiem czy to nie z tej fałszywej strony?. Na tej stronie fałszywej można było pobrać jakiś plik, czy porostu trzeba było tylko podać 24 słowa po kolei ?. Dzięki za odpowiedz

  16. Również otrzymałem. Się nie patyczkują i wysyłają SMS-y na cały świat – mój numer jest z Nowej Zelandii. Niech to szlag Ledgera trafi!

    • Numer telefonu z którego przyszła wiadomość: +61478903893

    • Ktoś zapomniał ustawić senderid w zagranicznej bramce?

  17. Cześć… W Weekend dostałem tego smsa, wszedłem w link który był tam podany ale nic z niego nie pobierałem nic nie wpisywałem po prostu wyszedłem, na tel nie mam apki Ledger Live. Czy mam czuć sie zagrożony????, żadnych wiadomości na Poczcie też nie otwierałem..

    • Tez jestem ciekaw, czy samo przegladanie strony jest niebezpieczne?

  18. A mi “Netflix” wysyła info, że płatność nie przeszła. Nawet są w mailu ostatnie 4 cyfry karty. Co prawda nieprawidłowe, ale wygląda nieźle.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: