Поддельные электронные письма об утечке данных Trezor, использовались для кражи криптовалютных кошельков
Скомпрометированный список рассылки аппаратного кошелька Trezor использовался для отправки поддельных уведомлений об утечке данных с целью кражи криптовалютных кошельков и активов, хранящихся в них.
Trezor — это аппаратный криптовалютный кошелек, который позволяет хранить ваши криптоактивы в автономном режиме, а не использовать облачные кошельки или кошельки, хранящиеся на вашем ПК, которые более уязвимы для кражи.
При настройке нового Trezor будет отображаться начальное число для восстановления от 12 до 24 слов, которое позволяет владельцам восстановить свои кошельки, если их устройство будет украдено или потеряно.
Однако любой, кто знает это начальное число для восстановления, может получить доступ к кошельку и хранящимся в нем криптовалютам, поэтому крайне важно хранить начальное число для восстановления в безопасном месте.
С сегодняшнего дня владельцы аппаратных кошельков Trezor начали получать уведомления об утечке данных, предлагающие получателям загрузить поддельное программное обеспечение Trezor Suite, которое сможет украсть их число для восстановления.
Trezor подтвердил в Твиттере, что эти электронные письма были фишинговой атакой, отправленной через одну из их подписных рассылок, размещенных на MailChimp.
Позже Тrezor заявил, что MailChimp якобы подтвердил, что их сервис был скомпрометирован «инсайдером», нацеленным на криптовалютные компании.
Более глубокий взгляд на атаку Trezor
Фишинговая атака началась с того, что владельцы аппаратных кошельков Trezor получили поддельные электронные письма об инцидентах безопасности, в которых утверждалось, что это уведомление об утечке данных.
«Мы с сожалением сообщаем вам, что Trezor столкнулся с инцидентом безопасности, связанным с данными, принадлежащими 106 856 нашим клиентам, и что кошелек, связанный с вашим адресом электронной почты [адрес электронной почты здесь], находится среди тех, кто пострадал от взлома», — говорится в поддельном Trezor фишинговом электронном письме с утечкой данных.
В этих поддельных электронных письмах об утечке данных говорится, что компания не знает масштабов нарушения и что владельцы должны загрузить последнюю версию Trezor Suite, чтобы установить новый PIN-код в своем аппаратном кошельке.
В электронном письме была кнопка «Загрузить последнюю версию», которая перенаправляет получателя на фишинговый сайт, отображаемый в браузере как suite.trezor.com.
Однако веб-сайт представляет собой доменное имя, использующее символы Punycode, что позволяет злоумышленникам выдавать себя за домен trezor.com, используя символы с диакритическими знаками или кириллицу, при этом фактическим доменным именем было — suite.xn--trzor-o51b[.]com.
Следует отметить, что законным веб-сайтом Trezor является trezor.io.
Этот поддельный сайт предлагал пользователям загрузить приложение Trezor Suite, как показано ниже.
Помимо сайта suite.xn--trzor-o51b[.]com злоумышленники также создали фишинговые сайты по адресам:
- http://trezorwallet[.]org/
- trezor[.]us
- http://suite.trezoriovpjcahpzkrewelclulmszwbqpzmzgub37gbcjlvluxtruqad[.]onion/
Когда посетитель загружает приложение, он загружает поддельное приложение Trezor Suite с фишингового сайта под названием «Trezor-Suite-22.4.0-win-x64.exe».
Как вы можете видеть ниже, легитимное приложение Trezor Suite подписано с использованием сертификата «Satoshi Labs, sro», а поддельная версия Windows [VirusTotal] подписана сертификатом от «Neodym Oy» (справа).
Поскольку Trezor Suite имеет открытый исходный код, злоумышленники загрузили исходный код и создали собственное модифицированное приложение, которое выглядит идентично исходному законному приложению.
По иронии судьбы, этот поддельный пакет даже включает предупреждающий баннер Trezor о фишинговых атаках в верхней части экрана приложения.
Однако, как только владельцы Trezor подключат свое устройство к поддельному приложению Trezor Suite, оно предложит им ввести свою фразу восстановления из 12–24 слов, которая будет отправлена злоумышленникам.
Теперь, когда у злоумышленников есть ваша фраза восстановления, они могут использовать ее для импорта фразы восстановления в свои кошельки и кражи криптовалютных активов жертв.
Почти идентичная атака была нацелена на владельцев аппаратных криптокошельков Ledger, ведущая к поддельному программному обеспечению Ledger Live.
Что делать владельцам Trezor?
Прежде всего, никогда не вводите начальное число для восстановления ни в одном приложении или на веб-сайте. Число следует вводить только непосредственно на устройстве Trezor, которое вы пытаетесь восстановить.
Поскольку легко создавать похожие домены, которые выдают себя за законные сайты, когда речь идет о криптовалюте и финансовых активах, всегда вводите домен, к которому вы пытаетесь подключиться, в своем браузере, а не полагайтесь на ссылки в электронных письмах.
Таким образом, вы знаете, что переходите на законный сайт, а не на сайт, выдающий себя за него.
Кроме того, официальный сайт Trezor находится по адресу trezor.io, поэтому другие домены, такие как trezor.com, не имеют отношения к компании, производящей аппаратный крипто-кошелек.
Наконец, игнорируйте любые электронные письма, якобы отправленные Trezor, в которых говорится, что вы пострадали от недавней утечки данных. Если вы обеспокоены, вместо того, чтобы щелкнуть ссылку в этих электронных письмах, свяжитесь с Trezor напрямую для получения дополнительной информации.
Держим Вас в курсе событий! Подписывайтесь на Фридман клаб в соцсетях и наш Телеграм канал, чтобы всегда быть в курсе самых последних и горячих новостей @like_freedman
Автор: Антон Зайцев, аналитик Freedman Сlub Crypto News
