image

Ledger-gebruikers krijgen malafide Ledger-cryptowallets per post opgestuurd

donderdag 17 juni 2021, 11:32 door Redactie, 4 reacties
Laatst bijgewerkt: 17-06-2021, 14:32

Gebruikers van Ledger-cryptowallets zijn het doelwit van een aanval waarbij ze via de post malafide Ledgers krijgen opgestuurd die de zogeheten "seed phrases" proberen te stelen. Met deze 24 woorden kan een aanvaller toegang tot de cryptowallet van het slachtoffer krijgen.

Op Reddit maakt een slachtoffer melding dat hij een brief heeft ontvangen die van Ledger afkomstig lijkt. Ledger biedt hardwarematige wallets voor het opslaan van allerlei cryptovaluta. Vorig jaar kreeg het bedrijf met een datalek te maken waarbij er gegevens van een groot aantal klanten werd gestolen. Van 9500 gebruikers ging het ook om voor- en achternaam, telefoonnummer, adresgegevens en aangeschafte producten.

Volgens de brief die gebruikers nu ontvangen is het vanwege dit datalek noodzakelijk om de Ledger van de gebruiker te vervangen. Naast de brief is er ook een ingepakte doos met een "nieuwe" Ledger meegestuurd, alsmede instructies om de gegevens van de oude Ledger naar het nieuwe apparaat over te zetten. Het nieuwe apparaat is een Ledger-wallet waar een usb-stick op is gesoldeerd. Op de usb-stick staat een migratietool om zogenaamd de data van de oude Ledger-wallet over te zetten. In werkelijkheid gaat het om malware die de seed phrases van het slachtoffer naar de aanvaller stuurt, meldt beveiligingsonderzoeker Mike Grover op Twitter.

Nicolas Bacca, medeoprichter van Ledger, laat op Reddit weten dat het om een nep-apparaat gaat dat niet moet worden gebruikt. Ook op de eigen website waarschuwt Ledger voor de scam. "Sluit het apparaat niet aan op je computer en deel nooit je 24 woorden. Ledger zal nooit vragen om je 24 woorden tellende herstelzin te delen."

Image

Reacties (4)
17-06-2021, 12:34 door buttonius - Bijgewerkt: 17-06-2021, 12:55
Dit is een bijzonder dure fishing operatie. Nepapparaten bouwen (of bestaande opkopen en aanpassen), netjes verpakken en verschepen. Dat kost echt enorm veel meer dan USB stickies met malware rondstrooien bij de voordeur van je beoogde slachtoffers, of een fishing email campagne uitvoeren.

Deze dozen zijn ergens zijn aangeleverd bij een bedrijf dat ze naar de beoogde slachtoffers transporteerde.
Met een beetje geluk is te achterhalen waar ze zijn aangeleverd en mogelijk zijn daar videobeelden van. Ook moet iemand voor het transport betaald hebben.
Daar moet de politie toch iets mee kunnen?

Natuurlijk loopt de politie dan eerst tegen een ezel aan die voor de achterliggende criminelen die pakketten heeft aangeleverd, maar je moet ergens beginnen.
17-06-2021, 12:51 door spatieman
nou,, er zullen er genoeg zijn die hier intrappen, en dan zijn de kosten er zo uit, yuk..
17-06-2021, 12:54 door Briolet
Door buttonius: Dit is een bijzonder dure fishing operatie.

Wel een effectieve, verwacht ik. Het percentage dat er in trapt zal een stuk hogen zijn dan via een mailcampagne. De kunst hier is om aan adressen te komen waarvan je vrijwel zeker weet dat ze al zo'n kastje gebruiken.
17-06-2021, 14:52 door Anoniem
Door buttonius:
Deze dozen zijn ergens zijn aangeleverd bij een bedrijf dat ze naar de beoogde slachtoffers transporteerde.
Met een beetje geluk is te achterhalen waar ze zijn aangeleverd en mogelijk zijn daar videobeelden van. Ook moet iemand voor het transport betaald hebben.
Daar moet de politie toch iets mee kunnen?
Ja leuk maar waarom zou de politie hier iets mee willen?
Zeker zolang er geen slachtoffers aangifte gedaan hebben.

Afijn het blijkt maar weer: zelf je eigen bank zijn lijkt leuk maar het heeft ook zijn prijs...
En zolang de cryptocurrency fans niet verder komen dan "je hebt er niks van begrepen" en "je doet het fout" zal dat
vast niet beter worden.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.