In einer ausgeklügelten Phishing-Kampagne werden aktuell Ledger Wallet-Benutzer mit gefälschten Datenverletzungsmeldungen ins Visier genommen, die dazu dienen, Kryptowährung von den Empfängern zu stehlen. Ledger ist eine Hardware-Kryptowährungsbrieftasche, mit der Sie Kryptowährungen speichern, verwalten und verkaufen können. Die in diesen Brieftaschen gehaltenen Mittel werden durch einen 24-Wort-Wiederherstellungsphrasen gesichert und unterstützen 12-, 18- oder 24-Wort-Wiederherstellungsphrasen, die von anderen Brieftaschen verwendet werden. Jeder, der diese Wiederherstellungsphrase kennt, kann sie verwenden, um auf die gesicherten Mittel zuzugreifen. Daher müssen Wiederherstellungsphrasen offline und privat aufbewahrt werden, damit Kryptofonds nicht gestohlen werden können.
Phishing-Kampagnen zielen auf Ledger-Wiederherstellungsphrasen ab. Im Juli 2020 erlitt Ledger einen Datenverstoß, nachdem eine Website-Schwachstelle es Bedrohungsakteuren ermöglicht hatte, auf die Kontaktdaten der Kunden zuzugreifen. Zu diesem Zeitpunkt erklärte Ledger, dass sie den betroffenen 9.500 Kunden eine E-Mail geschickt und eine dedizierte E-Mail-Adresse bereitgestellt haben, unter der weitere Informationen zu dem Angriff angefordert werden können. Ab Oktober 2020 begannen Ledger-Benutzer gefälschte E-Mails über eine neue Datenverletzung von Ledger zu erhalten.
Die E-Mail besagte, dass der Benutzer von der Verletzung betroffen sei und die neueste Version von Ledger Live installieren solle, um ihre Vermögenswerte mit einer neuen PIN zu sichern. „Wir bedauern Ihnen mitteilen zu müssen, dass wir über einen Datenschutzvorfall informiert wurden, der vertrauliche Daten von etwa 115.000 unserer Kunden betrifft, darunter persönliche Informationen, PIN-verschlüsselte private und öffentliche Schlüssel sowie die Menge jeder in der Brieftasche gespeicherten Kryptowährung“, heißt es in der gefälschten Ledger-Datenverstoß-Phishing-E-Mail. Diese E-Mails enthalten Links zu Domainnamen, die Punycode-Zeichen verwenden, die es den Angreifern ermöglichen, die legitime Ledger.com unter Verwendung von akzentuierten oder kyrillischen Zeichen zu imitieren.
Zum Beispiel wird derzeit eine Domain verwendet, die wie https://ledģėr.com aussieht und auf den ersten Blick wie die legitime Ledger-Website aussieht. Diese gefälschte Website fordert Benutzer auf, Ledger Live-Anwendungen herunterzuladen. Wenn ein Besucher die mobile Ledger Live-App herunterlädt, wird er zu den legitimen Apple- und Google-App-Seiten weitergeleitet. Wenn er jedoch versucht, die Desktop-Version herunterzuladen, wird eine gefälschte Ledger Live-Anwendung von der Ledger-Phishing-Site heruntergeladen.
Wenn die gefälschte Ledger Live-Anwendung installiert wird, ist sie so konzipiert, dass sie fast identisch mit der legitimen Version ist, mit Ausnahme einiger Optionen beim Starten des Programms. Wenn Sie die gefälschte Software starten, werden Sie mit zwei Optionen konfrontiert - 'Geräte von der Wiederherstellungsphrase wiederherstellen' oder 'Kein Ledger-Gerät vorhanden'. Da der Benutzer diese betrügerische Website aufgrund der Benachrichtigung über den Datenverstoß aufgesucht hat, um seine PIN zurückzusetzen, werden die meisten Benutzer auf die Option zur Wiederherstellung des Geräts klicken. Wenn sie dies tun, zeigt die Anwendung einen Bildschirm an, auf dem Sie aufgefordert werden, Ihre Wiederherstellungsphrase einzugeben. Nachdem Benutzer ihre Wiederherstellungsphrase eingegeben haben, wird die Geheimphrase an die Bedrohungsakteure auf der Domain happyflyingcow.
com zurückgesendet. Da einige Ledger-Benutzer zusätzliche Sicherheitsmaßnahmen in Form einer geheimen Passphrase für ihre Brieftaschen hinzufügen, fordert die Phishing-App auch nach dieser Passphrase. Nachdem die geheime Phrase eingegeben wurde, sendet die Phishing-Anwendung sowohl Ihre Wiederherstellungsphrase als auch die geheime Passphrase an die Angreifer auf happyflyingcow.com zurück. Mit der Wiederherstellungsphrase und der geheimen Passphrase bewaffnet, können die Angreifer uneingeschränkten Zugriff auf Ihre Kryptofonds erhalten und diese stehlen.
Erster und wichtigster Tipp für Ledger-Besitzer: Geben Sie niemals Ihre Wiederherstellungsphrase oder geheime Passphrase in einer App oder auf einer Website ein. Sie sollte nur direkt auf dem Ledger-Gerät eingegeben werden, das Sie wiederherstellen möchten. Da es leicht ist, Domainnamen zu erstellen, die legitime Websites imitieren, tippen Sie bei Kryptowährungen und Finanzanlagen immer die Domain ein, die Sie erreichen möchten, anstatt sich auf Links in E-Mails zu verlassen. Schließlich ignorieren Sie alle E-Mails, die behaupten, von Ledger zu stammen und besagen, dass Sie von einem kürzlichen Datenverstoß betroffen waren. Wenn Sie besorgt sind, kontaktieren Sie Ledger direkt anstatt auf den Link in diesen E-Mails zu klicken.
Ledger hat BleepingComputer mitgeteilt, dass sie nächste Woche eine Phishing-Statusseite veröffentlichen werden, um Informationen über diese Angriffe bereitzustellen.
