上周,一些在数据泄露事件中被盗的 Ledger 客户成为了网络钓鱼诈骗的目标。以下是Kraken Security Labs的专家团队对此次针对 Ledger 客户的攻击所做的分析。
这项富有启发性的案例研究可能对所有加密货币持有者都有所帮助。
由于网络钓鱼仍然是黑客和诈骗分子窃取加密货币的主要手段之一,我们认为提高加密货币社区对网络钓鱼手段的认识至关重要。
请注意,此次网络钓鱼攻击与 Ledger 钱包或其固件的任何缺陷无关。 作为一种社会工程攻击手段,网络钓鱼攻击仅靠技术手段无法避免——教育和提高防范意识才是关键。
网络钓鱼邮件和短信
许多 Ledger 用户都收到了类似下面的电子邮件或短信,要求他们下载新版本的 Ledger 软件。
犯罪分子很可能正在使用2020年6月Ledger数据泄露事件中涉及的9500名客户的联系信息。即使不是全部,大部分电子邮件也都来自攻击者控制的info@ledgersupport.io地址。
克隆网站
如果受害者点击电子邮件中的链接,他们将被重定向到一个伪造的、克隆的 Ledger 网站。
攻击者使用大量重定向和拼写错误的页面来欺骗受害者,并在检测到攻击后轮换页面。
受害者最终会被引导至一个下载页面,其中包含指向恶意版本的 Ledger Live 桌面应用程序的链接。在下面的截图中,请注意攻击者使用了拼写错误的leGDer.com域名。
恶意软件
下载的恶意软件看起来与合法的 Ledger Live 应用程序非常相似,但该应用程序会要求受害者提供恢复短语,然后窃取该短语。
受害者输入恢复短语后,恶意软件会将恢复短语发送给 loldevs.com 上的攻击者。
攻击者利用恢复短语可以恢复受害者的钱包,然后将这些资金发送到攻击者的某个钱包中。
回复
Ledger 团队和其他人员报告了这些域名,并在 48 小时内,其中许多域名被禁用或重定向到合法的 Ledger 服务,暂时阻止了此次攻击。
然而,攻击者似乎仍在不断更换网址以维持攻击活动。
保护自己
这些都是标准的社交工程和恶意软件攻击手段,因此一般的安全防护措施同样适用:
警惕链接,谨慎对待安装软件的要求。
仔细审查可疑的电子邮件或短信。
永远不要在任何设备上输入你的求救词。
维护好您的浏览器,并及时更新到最新补丁。
时刻警惕意外情况,留意紧迫感,小心落入陷阱。攻击者正是利用这种紧迫感,所以只需等待几天,就能避免许多攻击。
切勿访问使用Punycode的网站,这种技术几乎完全被攻击者利用。在此次攻击活动中,攻击者使用了 xn--ledgr-9za.com,浏览器会自动将其转换为显示带重音符号的字符,从而欺骗受害者。
要验证某个网站是否使用了 Punycode,可以使用Punycoder.com这个工具来验证相似字符。
如果你是此次诈骗活动的目标,或者曾经购买过 Ledger 设备,那么你需要格外小心,因为你很可能会继续成为与加密货币相关的诈骗目标。
想要了解更多来自 Kraken Security Labs 的最新消息,请务必收藏我们的官方博客。
