تشير التقارير إلى أن حملة تصيد جديدة تستهدف مستخدمي محفظة الأجهزة من نوع Ledger من خلال رسائل بريد إلكتروني مزيفة تُبلغ عن اختراق البيانات.
باحثون أمنيون في موقع BleepingComputer أن محتالين يرسلون رسائل بريد إلكتروني تبدو وكأنها واردة من عنوان الدعم الرسمي لشركة Ledger إلى المستخدمين. ووفقًا لهم، تزعم الرسالة أن على المستخدمين التحقق من عبارات الاسترداد الخاصة بهم بسبب اختراق أمني.
بدأت عملية الاحتيال، بحسب التقارير، في 15 ديسمبر 2024، وتستغل بنية أمازون AWS التحتية لإضفاء الشرعية على العملية. تهدف محاولات التصيد هذه إلى سرقة عبارات الاسترداد المكونة من 24 كلمة، والتي تمنح المهاجمين وصولاً كاملاً إلى أموال الضحايا من العملات المشفرة.
يبدو أن الحملة فعالة بشكل خاص لأنها تستغل المخاوف الحقيقية الناجمة عن اختراق بيانات Ledger السابق في عام 2020، وهي حادثة تم فيها بالفعل الكشف عن معلومات العملاء.
يبدو أن حملة التصيد الاحتيالي للعملات المشفرة قد أصبحت رسمية
تتبع رسائل البريد الإلكتروني الاحتيالية نمطًا دقيقًا مصممًا ليبدو رسميًا. تصل هذه الرسائل بعنوان "تنبيه أمني: قد يؤدي اختراق البيانات إلى كشف عبارة الاسترداد الخاصة بك"، وتبدو وكأنها مرسلة من "Ledger [email protected] ". ومع ذلك، اكتشف المحققون أن المحتالين يستخدمون في الواقع منصة التسويق عبر البريد الإلكتروني SendGrid لتوزيع هذه الرسائل.
عندما ينقر المستخدمون على زر "التحقق من عبارة الاسترداد" في هذه الرسائل الإلكترونية، تتم إعادة توجيههم عبر عدة مراحل. تؤدي عملية إعادة التوجيه الأولى إلى موقع ويب تابع لشركة أمازون AWS على عنوان URL مشبوه: product-ledg.s3.us-west-1.amazonaws.com. ومن هناك، يتم توجيه المستخدمين إلى موقع تصيد احتيالي.
يُظهر موقع التصيّد الاحتيالي إمكانيات تقنية واضحة، إذ يتضمن نظام تحقق يُقارن كل كلمة مُدخلة بـ 2048 كلمة صالحة مُستخدمة في عبارات استعادة العملات الرقمية. هذا التحقق الفوري يُضفي على الموقع مصداقية أكبر لدى الضحايا.
كما أضاف المهاجمون عنصرًا خادعًا آخر: الموقع يدعي دائمًا أن العبارة المدخلة غير صالحة لتشجيع المحاولات المتعددة وربما للتحقق مرة أخرى من أنهم تلقوا كلمات الاسترداد الصحيحة.
تمdentنسخ إضافية من هذه الحيلة. تدّعي بعض الرسائل الإلكترونية أنها إشعارات بتحديثات البرامج الثابتة، لكنها تشترك في الهدف نفسه: سرقة عبارات الاسترداد الخاصة بالمستخدمين للوصول إلى محافظ العملات الرقمية الخاصة بهم. تُرسل كل كلمة يتم إدخالها فورًا إلى خوادم المهاجمين.
أصدرت شركة ليدجر عدة تنبيهات أمنية
أصدرت شركة ليدجر منذ ذلك الحين عدة تنبيهات أمنية ردًا على حملة التصيد الاحتيالي هذه. وتؤكد الشركة أنها لن تطلب أبدًا عبارات الاسترداد عبر البريد الإلكتروني أو المواقع الإلكترونية أو أي وسيلة أخرى.
وقد ذكّرت بعض التوصيات الأمنية التي تمت مشاركتها منذ ذلك الحين المستخدمين بأن الاستخدام المشروع الوحيد لعبارة الاسترداد هو أثناء الإعداد الأولي لمحفظة أجهزة جديدة أو عند استعادة الوصول إلى محفظة موجودة - ويجب تنفيذ هذه الإجراءات فقط على جهاز Ledger المادي نفسه.
كما ذكّرت التوصيات الأمنية للمستخدمين لحماية أنفسهم بضرورة كتابة عنوان موقع Ledger الإلكتروني (ledger.com) مباشرة في المتصفح بدلاً من النقر على روابط البريد الإلكتروني.
ثانيًا، نُصح المستخدمون بتوخي الحذر الشديد عند التعامل مع أي بريد إلكتروني يدّعي أنه من شركة ليدجر، لا سيما تلك التي تُشير إلى اختراقات البيانات أو تتطلب اتخاذ إجراء فوري. ثالثًا، تم تذكير المستخدمين بحفظ عبارات الاسترداد خارج الإنترنت، ويفضل أن يكون ذلك في مكان آمن بعيدًا عن الأجهزة الرقمية.
بالنسبة لمن تفاعلوا مع رسائل بريد إلكتروني أو مواقع إلكترونية مشبوهة، يُنصح باتخاذ إجراء فوري. يجب على المستخدمين الذين أدخلوا عبارة الاسترداد الخاصة بهم في أي موقع إلكتروني تحويل أموالهم إلى محفظة جديدة بعبارة استرداد جديدة فورًا. تُعتبر المحفظة الأصلية مخترقة ويجب التوقف عن استخدامها لتخزين العملات الرقمية.
