Новая мошенническая кампания нацелена на пользователей аппаратных кошельков Ledger и Trezor, отправляя поддельные письма на дом, заманивая сканировать QR-код для перехода на поддельный сайт и кражи фразы восстановления, что позволяет получить полный контроль над криптоактивами.
Трюк, использующий психологию "срочности" с временными рамками и требованием обязательной проверки. Пользователи должны понимать: одна неправильная ввод seed-фразы может привести к тому, что вся криптовалюта в кошельке будет выведена.
ОСНОВНОЕ СОДЕРЖАНИЕ
Мошенники отправляют поддельные письма от имени Ledger/Trezor с требованием "обязательной проверки" и направляют пользователей сканировать QR-код.
QR-код ведет на фишинговый сайт, цель которого - собрать фразу восстановления для захвата кошелька и вывода средств.
Ledger/Trezor никогда не требуют фразу восстановления; эту фразу следует вводить только непосредственно на устройстве аппаратного кошелька.
Пользователи Ledger и Trezor подвергаются атакам с помощью поддельных писем с QR-кодами.
Мошенники отправляют физические письма на дом пользователей, выдавая себя за команду "безопасности/соответствия" Ledger или Trezor и требуя сканировать QR-код для проведения проверки, конечная цель - заставить жертву предоставить фразу восстановления.
Эти письма напечатаны на бланках, которые выглядят как официальные уведомления. Содержимое обычно говорит о том, что пользователи должны завершить "верификацию" или "проверку транзакции", чтобы избежать потери некоторых функций или доступа к приложению управления кошельком.
Опасность в том, что бумажные письма создают ощущение "доверия" больше, чем спам-электронные письма. Мошенники разрабатывают сценарий в стиле внутренней процедуры, используя такие термины, как "Проверка аутентификации", "проверка транзакций", чтобы повысить правдоподобие и заставить получателя немедленно действовать.
Неясно, как они выбирают жертву, но обе компании когда-то сталкивались с утечками данных. Прошлые утечки информации могут дать злоумышленникам дополнительные данные для отправки писем на правильные адреса, правильным группам пользователей.
Мошеннические письма устанавливают крайний срок 15/02 для создания психологического давления.
Мошенническое письмо устанавливает крайний срок 15/02 и предупреждает о потере функций, если не выполнено, чтобы создать временное давление, заставляя жертву сканировать QR-код и следовать инструкциям, не успев проверить их подлинность.
Согласно содержимому письма, отправленного пользователям Trezor, злоумышленник утверждает, что "проверка верификации" станет обязательной и требует завершить ее до 15/02, чтобы избежать потери некоторых функций, в то же время ссылаясь на необходимость "полной синхронизации" с Trezor Suite.
Похожее письмо, нацеленное на пользователей Ledger, также было распространено на платформе X, описывающее "обязательную проверку транзакций" с тем же крайнем сроком. Общий шаблон - это угроза "неясного, но устрашающего" наказания, вызывающая немедленную реакцию.
Например, письмо Trezor, цитируемое в статье, содержит ссылку: скан копии содержимого письма на X. Эта ссылка помогает пользователям идентифицировать тип представления и стиль, часто встречающийся в кампании.
Сканирование QR-кода приведет на фишинговый сайт с поддельным доменом Ledger/Trezor.
QR-код в письме направляет жертву на поддельные веб-сайты, имитирующие интерфейс Ledger/Trezor и показывающие предупреждение "обязательно" для того, чтобы заманить пользователей ввести фразу восстановления, после чего данные отправляются на сервер мошенников.
Отчеты утверждают, что фишинговый сайт, нацеленный на Ledger, был отключен, тогда как сайт, нацеленный на Trezor, все еще работал и был отмечен браузером/поставщиком безопасности как мошенничество. Предупреждение типа Chrome обычно указывает, что злоумышленник может обмануть вас, чтобы установить программное обеспечение или раскрыть конфиденциальную информацию.
Перед тем как получить отметку, этот поддельный сайт отображал сообщение о необходимости завершить "проверку авторизации" до 15/02 для "безопасности". Он также делал исключение для некоторых моделей кошельков, которые "уже были предварительно настроены", чтобы сделать содержание более детальным и правдоподобным, несмотря на то, что цель все равно заключалась в том, чтобы направить пользователей к вводу seed-фразы.
Целевая страница часто имеет кнопку, такую как "Начать", чтобы направить пользователей на следующий этап, а также предупреждение о "сбой верификации", если завершение не выполнено. Это метод постепенного увеличения степени срочности, заставляющий жертву игнорировать необычные признаки.
Поддельный сайт требует ввести фразу восстановления и отправляет данные через API мошеннику.
Когда жертва вводит фразу восстановления на поддельном сайте, эта фраза отправляется мошеннику (обычно через API в фоновом режиме), что позволяет им восстановить кошелек на другом устройстве и вывести все криптовалюты.
Процесс обычно маскируется под "проверку права собственности на устройство" или "активацию функции". Но технически фраза восстановления - это "ключ" для восстановления приватного ключа, поэтому любой, кто имеет эту фразу, может получить контроль над кошельком.
После получения seed-фразы злоумышленнику не нужно ваше физическое устройство. Они могут ввести фразу в другое программное обеспечение/аппаратный кошелек, подписать транзакцию и перевести активы на адрес, который они контролируют. Поскольку транзакции в блокчейне трудно отменить, возможность возврата обычно очень низка.
Принцип безопасности: Ledger и Trezor никогда не требуют фразу восстановления.
Ledger и Trezor никогда не требуют от пользователей предоставления фразы восстановления; фраза восстановления должна вводиться только непосредственно на устройстве аппаратного кошелька, а не на сайте, QR-коде, по электронной почте или в форме.
Фраза восстановления - это способ, позволяющий пользователю создавать резервную копию доступа к кошельку. Она представляет собой контроль над приватным ключом, поэтому деление этой фразы означает передачу всего кошелька другому человеку.
Если вы получили письмо/электронное письмо/звонок с запросом на seed-фразу, считайте это мошенничеством. Кроме того, будьте осторожны с сообщениями, побуждающими к срочным действиям, требующими "обязательной проверки" или направляющими вас сканировать QR-код для "синхронизации" кошелька.
Минимальные меры безопасности: не сканируйте QR-коды из непроверенных источников, вводите адрес сайта вручную из официальных источников и выполняйте подтверждение/восстановление только непосредственно на экране устройства аппаратного кошелька. Если вы уже ввели seed-фразу, считайте, что этот кошелек скомпрометирован, и как можно скорее переведите активы на новый кошелек с новой seed-фразой.
Часто задаваемые вопросы
Письмо с просьбой сканировать QR-код для "проверки кошелька" - это настоящее уведомление от Ledger/Trezor?
Нет. Это типичный признак мошенничества: поддельные письма, создающие ощущение срочности и направляющие вас сканировать QR-код на поддельный сайт для получения фразы восстановления.
Почему, если только фраза восстановления скомпрометирована, можно потерять все криптовалюты?
Фраза восстановления может быть использована для восстановления кошелька в другом месте и создания контроля над приватным ключом. Кто владеет этой фразой, может подписывать транзакции и перемещать активы, не нуждаясь в вашем устройстве.
Что делать немедленно, если вы уже просканировали QR-код и ввели фразу восстановления?
Считайте, что старый кошелек был скомпрометирован. Создайте новый кошелек с новой фразой восстановления на надежном устройстве, а затем как можно скорее переведите все активы на новый адрес кошелька.
Как распознать фишинговый сайт поддельный Ledger/Trezor?
Эти страницы часто заставляют вас вводить seed-фразу, устанавливают крайние сроки, предупреждают о потере функций и используют кнопку "Начать", чтобы принудить вас продолжать. Ledger/Trezor не требуют seed-фразу на сайте.