文/Robin


大概是一年前,Ledger 客户数据遭黑客攻击,超过 100 万名黑客的受害者的详细信息被泄露。由于泄漏的客户数据太过直白,如今后续来了。

比特币硬件钱包提供商 Ledger 提醒用户称,近期发生了一系列利用伪造 Ledger 硬件钱包骗取用户资产的新型骗局,部分一年前信息遭到泄露的用户收到要求用户更换硬件钱包的包裹,该包裹包括一份伪造的官方信件及一个被篡改过的 Ledger 硬件钱包。

Ledger 表示,信中关于「需要更换现有的硬件钱包来保护你的资金」为骗局,附赠的 Ledger 也是假的,如用户按照信中说明输入种子单词,用户的加密资产将会被盗。

我们来复盘此次攻击,这可以说是非常高级的社工攻击了。

第一,拿到泄漏的客户信息,这个可以说是非常简单了,搜索的技能熟练些,想要获取并不是什么太大的问题。

第二,制作假冒的 Ledger 硬件钱包。Ledger 固件都是开源的,要想制作假冒的产品,需要懂硬件以及嵌入式编程,需要懂密码学,以及整个生产链(或者也不用,直接用真的 Ledger,然后修改固件)。更重要的是,这个假的硬件,一旦导入了真的助记词,连上电脑之后,会有种木马的能力,这个木马做的事情就太坏了,可能是将助记词上传到某个服务端,又或者是在转账的时候修改目标地址,总之最终的目标都是拿到硬件钱包里面的加密货币。

第三,寄出的地址、姓名、手机号等需要考虑隐藏真实身份,如果这个不做好,有可能会追溯到始作俑者。不过要想完全隐藏,应该还是挺难的,物理世界留下痕迹太容易了。

当然了,真正实施这种社工攻击,要考虑的还要更多。我们能从这里面得出什么教训呢。

第一,网购填写的地址,尽可能地不要精确到门牌号,可以填写附近的快递柜或者快递代收点。这一点很重要,小区的保安防护,也并不能做到万无一失。

第二,如果收到类似的包裹,一定要给官方致电核实,切不可在未确认的情况下做任何操作。

第三,使用单个硬件钱包,其实还是不太安全的。一方面是助记词的备份问题,另一方面是硬件的单点问题,更加稳妥的是采用硬件钱包多签,当然了,这里还是有不低的成本。

Ledger 因为要做营销从而保留了所有的客户信息,如今造成的损失已经无法弥补,只能多加小心。以上,希望带给大家启发。


我是区块链罗宾,博客 dbarobin.com。如果您想和我交流,我的 Mixin: 26930


本站推广

币安是全球领先的数字货币交易平台,提供比特币、以太坊、BNB 以及 USDT 交易。


本博客开通了 Donate Cafe 打赏,支持 Mixin Messenger、Blockin Wallet、imToken、Blockchain Wallet、Ownbit、Cobo Wallet、bitpie、DropBit、BRD、Pine、Secrypto 等任意钱包扫码转账。


–EOF–

版权声明:自由转载-非商用-非衍生-保持署名(创意共享4.0许可证)