Мошенники разослали бумажные письма пользователям кошельков Ledger

[News Bot]

 

Злоумышленники стали использовать для кражи криптовалют новую схему — они рассылают бумажные письма пользователям аппаратных кошельков Ledger в попытке завладеть сид-фразами для полного доступа к криптоактивам.

Аферисты отправляют почтой письма пользователям Ledger, используя официальный логотип и адрес компании. Мошенники выдают себя за специалистов по безопасности, требуя от получателей писем отсканировать QR-код и ввести фразу восстановления, состоящую из 24 слов, выполнив валидацию устройства. Злоумышленники запугивают, что прохождение этой «проверки» обязательно, поскольку она нужна для критического обновления безопасности. Невыполнение процедуры может привести к ограничению доступа к аппаратному кошельку и хранящихся там средствам, говорится в письме.

 

Эту информацию впервые опубликовал в X пользователь Джейкоб Кэнфилд (Jacob Canfield), поделившись фотографиями писем. Он призвал подписчиков быть осторожными и попросил предупредить всех знакомых, пользующихся устройствами Ledger. Команда Ledger отреагировала на твит Кэнфилда, подтвердив, что компания не рассылала подобные письма. Это типичная схема фишинга, когда жертвы добровольно предоставляют доступ к своим криптовалютным кошелькам, только раньше мошенники рассылали электронные письма.

 

Злоумышленники могли воспользоваться утечкой данных из Ledger, которая произошла в 2020 году. Маркетинговая база данных Ledger была скомпрометирована из-за неверно настроенного стороннего API, в результате чего были обнародованы персональные данные около 270 000 клиентов Ledger. В Интернете появились их имена, адреса электронной почты, номера телефонов и физические почтовые адреса.

 

 

Подробнее: https://bits.media/moshenniki-razoslali-bumazhnye-pisma-polzovatelyam-koshelkov-ledger/

[Mask]

1 час назад, News Bot сказал:

они рассылают бумажные письма пользователям аппаратных кошельков Ledger

Что бы рассылать бумажные письма, нужно знать физический адрес владельца кошелька, вплоть до индекса. Такие данные можно было бы получить, если бы взломать базу Ledger, которая хранила бы такие данные о своих клиентах. Но при покупке кошелька не обязательно указывать физический адрес. Может в какой-нить Англии, кроме местной почты больше ничего нет и посылку приносят под дверь, но в других странах, куча служб доставок, на адреса которых приходят товары. Даже, если у службы доставки заказана услуга доставки до двери, то это уже хранится в базе службы доставки, а не в базе Ledger.

Допустим, я купил лично у Ledger кошелёк и указал свой физический адрес и его записали в свою базу, тогда:

1. Нужно признать факт утечки таких данных самим Ledger, чего нет.

2. Я бы уточнил у поддержки на сайте кошелька, действительно ли они отправляли такие письма. А ещё ранее, они бы точно сообщили про это в одной их своих новостей.

Скорее всего это попытка была нацелена на тех, у кого есть кошелёк Ledger, но они не знают, для чего он им нужен.

[cryptomouse]

35 минут назад, Mask сказал:

Такие данные можно было бы получить, если бы взломать базу Ledger

все намного проще, если держать в голове OSINT пересечение большого количества баз, гуляющих даже (!) в паблике.

База почт.ящиков, база страховых компаний, база пользователей амазон, и тд и тп

 

Ну вот для примера, скачаем с бесплатных "облак" какой-то архивчик с логами (лично я не пользуюсь). Интересно, что это такое.

Первый попавшийся аккаунт. Читаем 

***********************************************
*                                             *
*   ____  _____ ____  _     ___ _   _ _____   *
*  |  _ \| ____|  _ \| |   |_ _| \ | | ____|  *
*  | |_) |  _| | | | | |    | ||  \| |  _|    *
*  |  _ <| |___| |_| | |___ | || |\  | |___   *
*  |_| \_|_____|____/|_____|___|_| \_|_____|  *
*                                             *

Спойлер

*    Telegram: 
-------------------------------------------------------
тут был адрес тг канала
-------------------------------------------------------

    *
***********************************************

email: ZenoRosharn@gmail.com
session: ZenoRosharn@gmail.com
session[username_or_email]: pixel_bugz
user: zenorosharn@gmail.com
invoice_email: ZenoRosharn@gmail.com
invoice_email2: ZenoRosharn@gmail.com
invoice_address: 63 flexemer road
password-email: zenorosharn@gmail.com
firstName: Rosharn
lastName: Howell
addressLine1: 28 Warwick Road
emailConfirm: XenoRosharn@gmail.com
securityCode: 938388
contact: XenoRosharn@gmail.com
dobDay: 06
dobMonth: 05
dobYear: 1997
custom-address: 0xC18360217D8F7Ab5e7c516566761Ea12Ce7F9D72
fields['emailAddress']: xenorosharn@gmail.com
sps-opt-in-email: xenorosharn@gmail.com
address_keyword: 131
pin: n7e5sn3k
phone_number: 7494685207
security_answer: Snowey
user_email: xenorosharn@gmail.com
address1: 28 Warwick Road

 

в этом же аккаунте есть папочки "Google_[Chrome]_Default_Metamask" и фантом.

Если там есть баланс, то 100% что у пользователя 2фа. 

 

Таких аккаунтов - миллионы, и они общедоступны. По моему примитивному мнению, кто-то решил попытаться монетизировать информацию, в расчете, даже малый %попадания окупится с лихвой.

Логика проста. Леджер по большей части хомячки не покупают.

а наличие денег, к сожалению, о большом уме... ну и ли собранности, предусмотрительности, еще не свидетельствует. 

Тем более в законопослушных прекрасных садах Европы.

 

35 минут назад, Mask сказал:

Скорее всего это попытка была нацелена на тех, у кого есть кошелёк Ledger, но они не знают, для чего он им нужен.

☺️

п.с. не могу убрать подчеркивание =\

 

А вот ниже российская реальность (картинка из сети)

Edited 30 Apr 2025, 13:50 by cryptomouse

[Mask]

@cryptomouse Какое отношение эти базы имеют к Ledger?

[camelion77]

2 часа назад, News Bot сказал:

они рассылают бумажные письма пользователям

это может быть  несколько говорунов, хвастунов и пр. "жертв" соц. сетей. 

[zlg]

1 hour ago, Mask said:

Такие данные можно было бы получить, если бы взломать базу Ledger, которая хранила бы такие данные о своих клиентах.

Всмысле, "если бы". Она таки и утекла и Ledger это признал. База продаж Леджера со всеми этими данными: почт. адресами, мылом, телефонами, ФИО и тд  Вот еще инфа.

 

 

Edited 30 Apr 2025, 14:48 by zlg

[Helber]

@zlg , так ведь "ваша" новость о 2020 годе

[zlg]

8 minutes ago, Helber said:

так ведь "ваша" новость о 2020 годе

И что? Вот из той утечки жулики и черпают данные. В чем противоречие?

[Mask]

19 минут назад, zlg сказал:

И что? Вот из той утечки жулики и черпают данные. В чем противоречие?

По письму можно проследить, откуда оно было отправлено, с соседней улицы или с Франции, Англии, США, Сингапура. Может какой-то один жулик-француз, отправил жертве-французу, а тот выложил это в сеть.

[zlg]

23 minutes ago, Mask said:

По письму можно проследить, откуда оно было отправлено, с соседней улицы или с Франции, Англии, США, Сингапура. Может какой-то один жулик-француз, отправил жертве-французу, а тот выложил это в сеть.

И чем это поможет? Можно поехать за 100км и дать бомжу Васе за 100руб раскидать эти письма по почтовым ящикам в городе. Согласен, что гемора много, но тем не менее. Возможный профит перекроет все издержки. Мне в мыло(которое было зарегистрированно в Леджере при заказе) без конца(по несколько в неделю-две) приходят очень качественно сделанные(якобы от самого Леджера) фишинг письма со страшилками, что типа если я не пойду по ссылке и не введу свой сид(на безопасный счет французского центробанка) то мой Леджер назавтра превратится в тыкву. И этот Ledger-спам приходит только на мыло из той утекшей базы. Ни на какие другие мои "мылы" ни разу не приходили эти письма, но туда зато приходят время от времени фишинг от всяких якобы Траст Валетов, где я никогда "не был, не участвовал, не привлекался".

[Mask]

12 минут назад, zlg сказал:

Возможный профит перекроет все издержки.

Для таких как я это делать бесполезно.

Никогда не проверяю в этих письмах ссылки, можно всегда перейти на сайт компании, почитать их новости и сделать выводы. Если что-то не ясно, написать в их поддержку, а не в телегу, какого-то неизвестного создателя.

[zlg]

5 minutes ago, Mask said:

Для таких как я это делать бесполезно.

На одного такого как Вы, приходится 1000 других... Повторю, шлют не от неизвестного создателя из телеги(с такими ясно и не о чем говорить), а очень качественно сделанные реплики сайта Леджера сообщения(вплоть до мелочей). Мне попадались письма отправленные с домена ledger.com(но одна из букв была не латиница - фиг глазом увидишь) Неискушенный обыватель не заметит отличий, да и не каждый искушенный тоже. 

[cryptomouse]

5 часов назад, Mask сказал:

Какое отношение эти базы имеют к Ledger?

чувствую себя неловко...когда приходится сочинять мануал по базам для криптофишинга. Но если супермодератор так хочет, придется пойти навстречу.

Итак, попробуем повторить логику фишеров.

 

1) скачиваем из разных источников базы стилеров. Как, например, Редлайна - что выше.

2) выбираем (парсим софтом) те кошельки, где есть баланс\транзакции\признаки_холодного_кошелька

3) оцениваем обороты криптожертвы. Если они интересные, копаем дальше.

3) смотрим данные автозаполнения, стянутые малварью

например такие

 

email heklibence@gmail.com
first-name Bence
last-name Hekli
phone +36302679257 

 

Почтового адреса здесь нет, но мы поищем. Допустим, его нет в слитой базе леджера - не беда.

 

4) ищем пересечения с теми базами, в тех самых, вышеупомянутых...которые ни причем.

И, если повезет, то находим. ул\дом\кв.

 

5) дальше стряпаем письмецо по схеме описанной выше.

 

А дальше работает воронка удачи. Кто-то да попадается, судя по интенсивности атак, описанных выше.

 

 

 

[gopas8]

В 30.04.2025 в 19:37, zlg сказал:

На одного такого как Вы, приходится 1000 других... Повторю, шлют не от неизвестного создателя из телеги(с такими ясно и не о чем говорить), а очень качественно сделанные реплики сайта Леджера сообщения(вплоть до мелочей). Мне попадались письма отправленные с домена ledger.com(но одна из букв была не латиница - фиг глазом увидишь) Неискушенный обыватель не заметит отличий, да и не каждый искушенный тоже.  

А дальше работает воронка удачи. Кто-то да попадается, судя по интенсивности атак, описанных выше. 

…И ведь всё сделано настолько точно, что отличить от оригинала — как дизель от бензина на слух: заметит только тот, кто знает, куда смотреть. Тут как с мотоблоками — поставишь не тот двигатель, и вместо надёжной работы — сплошные сюрпризы. Кстати, если кому-то интересны дизельные двигатели для мотоблоков motozilla— надёжность проверена

видел такое письмо — реально трудно отличить от оригинала. Особенно если не проверяешь домен под лупой. Нужно всегда вручную заходить на официальный сайт и не кликать по ссылкам из писем.

Edited 3 May 2025, 11:39 by gopas8