Attenzione: truffa ai clienti di hardware wallet Ledger

hardware wallet Ledger

I malviventi invierebbero a clienti Ledger finti dispositivi sostitutivi. Apparentemente identici a quelli veri. Ma realizzati per carpire i codici di recupero e così accedere ai fondi del malcapitato.

Abbiamo parlato di criminalità informatica e Ledger in questo articolo.

Ledger Nano X - The secure hardware wallet

Ci risiamo: una nuova truffa tentata ai danni dei possessori di hardware wallet Ledger.

Ricorderete della fuga di informazioni dalla banca dati dell’azienda francese. Un’operazione con la quale ignoti malviventi hanno potuto disporre della lista dettagliata dei clienti. A cui indirizzare specifici tentativi di phishing.

Ebbene, i tentativi di truffa ai danni di incauti utenti degli hardware wallet Ledger non è finita. Come ci viene segnalato su Reddit, sul canale r/LedgerWallet dall’utente u/jjrand. Ecco il link del post. In breve, l’utente Reddit segnala la truffa in quanto, dice lui, la ha personalmente subita. Quantomeno, tentativamente.

Le foto annesse al post, parlano chiarissimo. L’utente, evidentemente cliente Ledger noto ai truffatori, avrebbe ricevuto per posta un finto wallet Ledger Nano X. L’imballaggio è analogo all’originale.

foto: confezione del finto Ledger
confezione del finto Ledger – fonte reddit.com/r/ledgerwallet

Ma l’utente si insospettisce. il dispositivo, infatti, è accompagnato da una lettera scritta in inglese con qualche errore qua e là.

foto: finta lettera del Ledger
finta lettera del Ledger – fonte reddit.com/r/ledgerwallet

Inverosimile, visto che appare firmata dal CEO di Ledger, Pascal Gauthier. E con istruzioni inconsuete.

Per motivi di sicurezza, ti abbiamo spedito un nuovo dispositivo che dovrai usare per restare al sicuro. C’è un manuale all’interno della nuova confezione che puoi leggere per capire come configurare il tuo nuovo dispositivo.

Per questo motivo, abbiamo cambiato la struttura del nostro dispositivo. Possiamo ora garantire che simili incidenti non accadano mai più.

Il manuale è il cosiddetto “cavallo di Troia”.

Trezor - hardware wallet

Contiene la procedure su come usare il dispositivo. E, ecco l’aspetto critico, riporta la richiesta di inserire la frase di recupero privata nell’App software Ledger Live. Così da collegare il proprio l’hardware wallet al nuovo dispositivo. Diversamente, sappiamo bene che il seed di 24 parole va introdotto solo sullo schermo dell’hardware wallet.

foto: retro del Ledger contraffatto
retro del Ledger contraffatto – fonte reddit.com/r/ledgerwallet
foto: retro del Ledger originale
retro del Ledger originale – fonte reddit.com/r/ledgerwallet

Andiamo avanti. L’utente esamina allora il circuito del dispositivo e condivide le immagini. A quel punto, il ricercatore di sicurezza Mike Grover spiega a BleepingComputer che il dispositivo è chiaramente manomesso.

Sembra essere una semplice chiavetta USB attaccata al Ledger, con l’obiettivo di trasferire qualche sorta di malware. Tutte le componenti sono sull’altro lato.

Quindi non posso confermare se si tratta SOLO di un dispositivo di archiviazione. Ma giudicando dal lavoro di saldatura da principiante, è probabilmente una comune chiavetta rimossa dal suo rivestimento.

In particolare, Grover evidenzia una sezione del retro del dispositivo. Con l’impianto della presunta chiavetta USB.

Questi 4 cavi si agganciano alle stesse connessioni per la porta USB del Ledger.

Conclusione di Grover.

L’obiettivo del dispositivo fraudolento è intercettare la frase di recupero inserita dall’utente. Per poi reindirizzarla ai truffatori, ovvio, che quindi potranno così rubare gli asset crypto contenuti.

Esiste un post del 10 maggio scorso in cui Ledger aveva messo in guardia i clienti da questo tipo di truffe ai clienti di hardware wallet.

La finta guida nella confezione del Nano chiede all’utente di connettere il dispositivo a un computer. Per inizializzare il dispositivo, all’utente viene chiesto di inserire le sue 24 parole in un’applicazione Ledger Live finta.

Questa è una truffa. Non connettere il dispositivo al tuo computer e non condividere mai le tue 24 parole. Ledger non ti chiederà mai di condividere la tua frase di recupero da 24 parole.

Purtroppo, è verosimile che i truffatori tenteranno ogni espediente per sfruttare il possesso della lista clienti di Ledger. Finora, dalla fuga di dati originale avvenuta tra giugno e luglio 2020, sono stati indirizzati più di un milione di utenti iscritti alla newsletter dell’azienda. E poco meno di 300 mila clienti che hanno ordinato l’hardware wallet.

Billfodl - seed custodian

FONTE: http://www.reddit.com/r/ledgerwallet/

Scrivi un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *