BinanceCZ получает предупреждение о безопасности, аккаунт администратора Ledger в Discord взломан

Бывший генеральный директор Binance Чанпенг Чжао (CZ) в понедельник опубликовал в социальной сети X сообщение о безопасности, предупреждающее общественность о скоординированной фишинговой атаке, в результате которой был взломан административный аккаунт Ledger в Discord. Злоумышленники использовали взломанный аккаунт, чтобы ложно предупредить пользователей об уязвимости в системах Ledger, заманив их на вредоносный веб-сайт, предназначенный для кражи конфиденциальной информации о кошельках.

«Только что получил предупреждение о безопасности. Административный аккаунт Ledger в Discord был взломан», — написал Чжао, прикрепив скриншот фишингового сообщения. 

Только что получил предупреждение о безопасности.

Административный аккаунт Ledger в Discord был взломан. Мошенник ложно заявил об уязвимости в системе и призвал пользователей ввести свои фразы восстановления на фишинговом сайте.

Выводы:
1. Никогда не сообщайте свои закрытые фразы восстановления, независимо от того, кто это делает…

— CZ 🔶 BNB (binance) 12 мая 2025 г

В мошенническом сообщении утверждалось, что обнаруженная уязвимость скомпрометировала данные пользователей, и пользователям рекомендовалось подтвердить свои сид-фразы по ссылке, замаскированной под официальную fakeverify-ledger.appchanged, но на самом деле являвшейся фишинговой ловушкой. 

Пользователям сообщили, что им будет предложена компенсация, если их фразы будут скомпрометированы. Чжао сказал своим подписчикам: «Никогда не раскрывайте свои фразы восстановления закрытого ключа, независимо от того, кто об этом спрашивает. Аккаунты в социальных сетях криптокомпании часто являются самым слабым звеном».

Компания Ledger локализовала ущерб

Как сообщало издание Cryptopolitan , поставщик аппаратных кошельков подтвердил, что учетная запись модератора на его сервере Discord была взломана, но теперь снова находится под контролем компании. Злоумышленник воспроизвел стиль и тон настоящего сообщения Ledger, даже перечислив шаги по «защите» кошельков пользователей. 

Внутренняя команда Ledger отреагировала, заблокировав учетную запись пострадавшего модератора, удалив вредоносного бота и проведя полную проверку прав доступа к серверу. Они также отметили фишинговый сайт, чтобы предотвратить доступ к нему для пользователей, которые еще не знали о его существовании.

В марте подразделение внутренней безопасности Ledger, Donjon, выявило уязвимость в серии Safe от конкурирующего поставщика кошельков Trezor. По данным Donjon, проблема связана с микроконтроллером, используемым в устройствах Trezor, который остается уязвимым для физических атак.

Состояние фишинговых сайтов: атаки с использованием Punycode

В воскресенье компания SlowMist, специализирующаяся на безопасности блокчейна, сообщила об отдельном инциденте,dent результате которого пользователь криптовалюты потерял более 20 000 долларов из-за фишинговой атаки с использованием поддельной версии биржи ChangeNOW. Инцидентdent , когда жертва использовала Google Chrome для доступа к сайту, который, как она считала, был настоящим.

В поддельном домене использовалась тактика, известная как атака Punycode, при которой злоумышленники регистрируют домены, которые выглядятdentлегитимным, заменяя буквы похожими символами из разных алфавитов. В данном случае кириллическая «е» заменила латинскую «е», создав сайт, визуально неотличимый от оригинальной платформы ChangeNOW.

При посещении подобных доменов жертв могут склонить к вводуdentданных, загрузке вредоносного ПО или, в случае мошенничества, связанного с криптовалютой, к предоставлению сид-фраз кошелька. Получив эти данные, злоумышленники получают полный контроль над средствами пользователей.

В 2017 году пользователи PayPal стали жертвами хакерской атаки с использованием поддельного домена Punycode, имитирующего официальный сайт, в результате которой были украдены учетныеdentи похищены средства. Хакеры разослали пользователям несколько электронных писем, в одном из которых утверждалось, что Bitcoin были отправлены на их счета с биржи, как видно из сообщения на сабреддите r/CryptoCurrency.

«Это письмо на самом деле пришло от PayPal. Оно прошло через систему передачи почты PayPal (MTA) и, следовательно, было пропущено системами MTA Google. Это нехорошо», — сказал владелец аккаунта PayPal, обнаруживший мошенничество.

Согласно исследованию в области кибербезопасности, в период с 2016 по 2018 год домены, использующие кодировку Punycode, стали причиной 25-процентного увеличения числа фишинговыхdent. Большинство пользователей не знают о кодировке Punycode и не могут легко обнаружить эти поддельные URL-адреса, особенно если остальная часть веб-страницы очень похожа на официальную по дизайну и языку.