过去一周中,网络钓鱼诈骗针对的是数据遭到泄露的账本客户。下面,我们在Kraken Security Labs的专家团队汇总了针对Ledger客户的持续攻击的分析。
这个有启发性的案例研究可能证明对所有加密货币持有人都有用。
由于网络钓鱼仍然是黑客和诈骗者窃取加密货币的主要方法之一,因此我们认为,对网络钓鱼方法的更好了解对于加密社区至关重要。
请注意,这种网络钓鱼攻击与Ledger钱包或其固件中的任何缺陷无关。作为一种社会工程形式,网络钓鱼攻击无法仅通过技术来避免-教育和意识至关重要。
网络钓鱼电子邮件和文本
许多账本所有者收到了类似于以下内容的电子邮件或短信,要求他们下载其账本软件的新版本。
犯罪分子很可能会使用2020年6月违反Ledger的9,500个客户的联系信息。大多数(如果不是全部)电子邮件来自攻击者控制的info@ledgersupport.io地址。
克隆网站
如果受害者单击电子邮件中的链接,他们将被重定向到Ledger网站的伪造副本。
攻击者正在使用许多重定向和拼写错误的页面来欺骗受害者,并在检测到页面时旋转页面。
最终,受害者将被发送到下载页面,其中包含指向Ledger Live桌面应用程序的恶意版本的链接。在下面的屏幕截图中,请注意攻击者正在使用拼写错误的le GD er.com域。
恶意软件
下载的恶意软件看起来与合法的Ledger Live应用程序非常相似,不同之处在于,该应用程序将要求受害者提供恢复短语,然后窃取它。
受害者输入他们的恢复短语后,恶意软件会通过loldevs.com将恢复短语发送给攻击者。
使用恢复短语,攻击者可以收回受害者的钱包,然后将这些资金发送到攻击者的钱包之一。
响应
Ledger团队和其他人报告了这些域,并在48小时内将其中许多禁用或正在重定向到合法的Ledger服务,从而暂时消除了这种攻击。
但是,攻击者似乎继续切换URL来维护活动。
保护你自己
这些是标准的社会工程和恶意软件技术,因此,通常的安全卫生提示适用:
- 警惕链接,并在要求安装软件时保持谨慎。
- 仔细检查可疑的电子邮件或文本。
- 切勿将恢复字输入任何内容。
- 维护您的浏览器,并使用最新的修补程序更新它。
- 注意惊喜,注意紧迫感,当心陷阱。攻击者会以紧迫感为猎物,因此您只需等待几天就可以避免多次攻击。
- 永远不要访问使用punycode的站点,该站点几乎完全由攻击者使用。在此活动中,攻击者使用xn--ledgr-9za.com,浏览器会自动将其翻译为显示重音字符,从而欺骗受害者。
- 要验证网站是否使用的是punycode, Punycoder.com是用于验证外观相似字符的工具。
如果您是此广告系列的目标或曾经购买过账本,则需要格外小心,因为您应该期望继续成为与加密有关的骗局的目标。
有关Kraken Security Labs的更多更新,请确保将我们的官方博客收藏为书签。