Tin tức
Người dùng Ledger bị nhắm đến trong cuộc tấn công phishing qua thư liên quan đến rò rỉ dữ liệu năm 2020

Người dùng Ledger bị nhắm đến trong cuộc tấn công phishing qua thư liên quan đến rò rỉ dữ liệu năm 2020

3 giờ trước
#Ledger #Tin tặc #Ví Tiền Điện Tử
Người dùng Ledger bị nhắm đến trong cuộc tấn công phishing qua thư liên quan đến rò rỉ dữ liệu năm 2020

Người dùng ví phần cứng Ledger lại một lần nữa bị đặt vào tầm ngắm của kẻ gian lận - lần này qua một phương pháp bất thường và đáng báo động: thư vật lý. Chiến dịch phishing mới nhất giả mạo Ledger nhằm lừa người nhận từ bỏ cụm từ khôi phục 24 từ của họ dưới danh nghĩa một bản cập nhật bảo mật.

Hình thức vật lý của cuộc tấn công và việc bao gồm các thông tin cá nhân chi tiết gợi ý một mối liên kết có thể với vụ rò rỉ dữ liệu nổi tiếng năm 2020 của Ledger, trong đó đã làm tổn hại dữ liệu của hàng trăm nghìn khách hàng, nhấn mạnh những nguy hiểm dai dẳng của việc tiếp xúc với dữ liệu trong không gian tiền điện tử.

Một trong những báo cáo đầu tiên về trò lừa đảo này đến từ nhà đầu tư tiền điện tử Jacob Canfield, người đã chia sẻ một bức ảnh về lá thư lừa đảo trên X (trước đây là Twitter). Lá thư cẩn thận nhái lại nhãn hiệu chính thức của Ledger, bao gồm một địa chỉ hoàn trả công ty có vẻ hợp pháp, một số tham chiếu duy nhất, và hướng dẫn để quét mã QR.

"Mức độ chi tiết thật đáng báo động," Canfield lưu ý trong bài đăng của mình. "Từ chất lượng giấy đến định dạng chuyên nghiệp, mọi thứ đều hét lên rằng nó là thật cho đến khi bạn nhận ra điều mà nó thực sự yêu cầu."

Lá thư sai sự thật tuyên bố rằng người dùng cần phải trải qua một "quy trình xác thực bắt buộc" để đảm bảo tiếp tục truy cập vào các khoản tiền của họ, đe dọa hạn chế truy cập nếu các hướng dẫn không được tuân theo trong vòng 30 ngày. Mã QR hướng người bị hại đến một bản sao thuyết phục của trang web chính thức của Ledger, nơi họ được yêu cầu nhập cụm từ khôi phục 24 từ của mình - chìa khóa chính đến ví và tài sản của họ.

Ledger đã phản hồi kịp thời trên mạng xã hội, nhấn mạnh một nguyên tắc quan trọng về bảo mật ví: "Ledger sẽ không bao giờ yêu cầu cụm từ khôi phục 24 từ của bạn. Nếu ai đó yêu cầu, đó là một trò lừa." Công ty cũng đã cập nhật trang tư vấn bảo mật của mình với những ví dụ về lá thư gian lận để giúp người dùng nhận dạng các nỗ lực tương tự.

Kết cấu của một trò lừa đảo tinh vi

Điều làm cho chiến dịch phishing này đặc biệt nguy hiểm là phương pháp đa tầng để tạo ra tính hợp pháp. Các nhà nghiên cứu bảo mật đã phân tích trò lừa đảo chỉ ra một số yếu tố tinh vi:

  1. Phương tiện vật lý: Khác với các liên lạc số thường chứa dấu hiệu lừa đảo (URL đáng ngờ, lỗi chính tả), thư vật lý mang yếu tố tin cậy tự nhiên.

  2. Cá nhân hóa: Người nhận báo cáo rằng các lá thư thường bao gồm tên đầy đủ, địa chỉ, và trong một số trường hợp, tham chiếu đến các mẫu Ledger cụ thể mà họ sở hữu.

  3. Tạo sự cấp bách: Các lá thư sử dụng chiến thuật sợ hãi bằng cách gợi ý rằng việc không tuân thủ sẽ dẫn đến mất quyền truy cập vĩnh viễn vào tài sản tiền điện tử.

  4. Trình bày chuyên nghiệp: Tài liệu sử dụng in chất lượng cao, tiêu đề thư trông chính thức, và thậm chí bao gồm cả những gì có vẻ là hologram Ledger thật trong một số trường hợp.

  5. Sự tinh vi kỹ thuật: Các mã QR dẫn đến các trang phishing được thiết kế cẩn thận sử dụng chứng chỉ SSL và tên miền gần giống với URL của Ledger hợp pháp.

Cố vấn bảo mật Marcus Hutchins, nổi tiếng với công việc chặn đứng cuộc tấn công ransomware WannaCry, nhận xét về chiến dịch: "Điều này đại diện cho một sự leo thang đáng kể trong chiến thuật phishing. Sự sẵn lòng chi đầu tư vào gửi thư vật lý cho thấy cả tiềm năng sinh lời cho kẻ tấn công và sự tiến hóa trong sự tinh vi của các trò lừa đảo nhắm đến tiền điện tử."

Rò rỉ dữ liệu Ledger 2020

Mặc dù Ledger chưa xác nhận chính thức một liên kết trực tiếp, nhưng các cộng đồng an ninh mạng và tiền điện tử nghi ngờ mạnh mẽ rằng chiến dịch phishing này tận dụng thông tin bị đánh cắp trong vụ rò rỉ dữ liệu Ledger tháng 7 năm 2020. Sự việc này đã gây chấn động cộng đồng tiền điện tử khi một hacker khai thác một khóa API cũ để truy cập các phần của cơ sở dữ liệu thương mại điện tử và tiếp thị của công ty.

Quy mô của vụ vi phạm là đáng kể:

  • Khoảng 1 triệu địa chỉ email bị xâm nhập
  • Thông tin chi tiết của khoảng 272.000 khách hàng bị lộ, bao gồm:
    • Tên đầy đủ
    • Số điện thoại
    • Địa chỉ gửi thư vật lý
    • Thông tin đặt hàng sản phẩm và lịch sử mua hàng

Tuy nhiên, vụ vi phạm không làm tổn thất cụm từ seed của ví, khóa riêng, hoặc tài sản tiền điện tử trực tiếp, nhưng nó tạo ra một lỗ hổng dai dẳng thông qua hành vi xã hội. Trong những năm kể từ đó, các nạn nhân đã báo cáo bị nhắm đến qua nhiều kênh khác nhau:

  • Email phishing giả mạo hỗ trợ Ledger
  • Tin nhắn SMS tuyên bố tài khoản bị xâm phạm
  • Thay thế thiết bị Ledger giả gửi đến nhà
  • Tin nhắn đe dọa yêu cầu thanh toán tống tiền
  • Và bây giờ, thư tín được chế tạo tinh vi

Dữ liệu từ vụ vi phạm đã xuất hiện lặp đi lặp lại trên các chợ đen web tối, với giá cả thay đổi dựa trên mức độ hoàn chỉnh của thông tin khách hàng. Theo công ty phân tích blockchain Chainalysis, thông tin từ vụ vi phạm đã được liên kết với ít nhất 11,5 triệu USD trong các vụ trộm tiền điện tử thông qua các chiến dịch phishing thành công kể từ năm 2020.

Hậu quả lâu dài của các vụ vi phạm dữ liệu

Troy Hunt, nhà nghiên cứu bảo mật và sáng lập dịch vụ thông báo vi phạm dữ liệu Have I Been Pwned, giải thích lý do tại sao vụ vi phạm Ledger tiếp tục gây ra mối đe dọa sau nhiều năm kể từ khi xảy ra.

"Các vụ vi phạm dữ liệu có tác động kéo dài vượt xa kết quả tức thì," Hunt lưu ý. "Khi thông tin cá nhân gia nhập hệ sinh thái tội phạm, nó không suy giảm hay bị lỗi thời. Thay vào đó, nó thường được làm giàu bằng dữ liệu bổ sung từ các vụ vi phạm khác, trở nên quý giá và nguy hiểm hơn theo thời gian."

Hiện tượng này, đôi khi được gọi là "hợp chất vi phạm," khiến dữ liệu Ledger đặc biệt có giá trị đối với kẻ tấn công. Khi kết hợp với thông tin từ các vi phạm tài chính hoặc nhận dạng khác, nó tạo ra một hồ sơ toàn diện về nạn nhân giữ tiền điện tử, là mục tiêu có giá trị cao.

Dữ liệu từ vụ vi phạm năm 2020 đã cho thấy sự bền bỉ đáng kể. Vào tháng 12 năm 2022, các bản biên soạn mới của dữ liệu bị lộ bắt đầu lưu hành trên các diễn đàn hacking. Đến tháng 3 năm 2023, các nhà nghiên cứu đã xác định được các bộ dữ liệu được nâng cấp kết hợp thông tin khách hàng của Ledger với dữ liệu từ các vi phạm không liên quan, tạo ra các hồ sơ toàn diện về các nạn nhân tiềm năng.

Sự tiến hóa của chiến thuật phishing trong kỷ nguyên tiền điện tử

Sự cố này đánh dấu một sự tiến hóa đáng lo ngại trong chiến thuật phishing nhắm đến các nhà sở hữu tiền điện tử. Mặc dù giả mạo email và trang web từ lâu đã là những yếu tố cơ bản của các trò lừa đảo tiền điện tử, nhưng thư vật lý thêm vào các lớp tâm lý nhiều tầng - lợi dụng sự tin cậy của người dùng đối với các tài liệu trông chính thức mà đến qua các dịch vụ thư bưu điện truyền thống.

Các chuyên gia an ninh mạng giải thích rằng thư tín vật lý kích hoạt các đánh giá tin cậy khác với các liên lạc số. Hầu hết mọi người đã phát triển một mức độ hoài nghi nào đó về email nhưng duy trì sự tin tưởng cao hơn đối với tài liệu vật lý, đặc biệt là những tài liệu trông chính thức hoặc chứa thông tin cá nhân mà chỉ các tổ chức hợp pháp mới nên biết.

Tác động tâm lý khi nhận các liên lạc như vậy có thể là đáng kể. Nhiều nạn nhân báo cáo trải qua tình trạng căng thẳng, cấp bách, và sự mất kiểm soát quyết định khi nhận các lá thư này.

"Tôi biết có điều gì đó không ổn, nhưng lá thư có địa chỉ của tôi, tên đầy đủ của tôi, và thậm chí đề cập khi tôi đã mua Ledger của mình," chia sẻ một nạn nhân suýt bị lừa. "Trong một khoảnh khắc, tôi thật sự đã suy nghĩ về việc làm theo các hướng dẫn vì sợ mất quyền truy cập vào tiền điện tử của mình."

Các tác động trong ngành và các biện pháp thực hành tốt nhất

Cuộc tấn công mới nhất này nhấn mạnh tầm quan trọng của giáo dục an ninh toàn diện trong không gian tiền điện tử. Mặc dù các công ty như Ledger đã củng cố an ninh hoạt động của mình sau các vụ vi phạm trước đó, tính chất dai dẳng của dữ liệu bị lộ có nghĩa là người dùng phải cẩn trọng vô thời hạn.

Người dùng ví phần cứng - dù với Ledger, Trezor, SafePal, hoặc các nhà cung cấp khác - nên tuân thủ các biện pháp thực hành chủ đạo sau:

  1. Cụm từ seed thiêng liêng: Không bao giờ chia sẻ cụm từ khôi phục của bạn dưới bất kỳ tình huống nào. Các công ty hợp pháp không bao giờ yêu cầu thông qua bất kỳ kênh liên lạc nào.

  2. Xác minh từ nhiều nguồn: Khi nhận được thông tin đáng lo ngại về ví của bạn, kiểm tra qua nhiều kênh hỗ trợ chính thức trước khi hành động.

  3. Tiếp cận không tin tưởng: Xem xét tất cả các liên lạc không mong muốn với sự hoài nghi cao độ, đặc biệt là những liên hệ tham chiếu giao dịch hoặc chi tiết phần cứng cụ thể.

  4. An ninh hoạt động vật lý: Sử dụng hộp thư B.O. hoặc địa chỉ giao hàng thay thế khi mua phần cứng tiền điện tử để giảm bộc lộ địa chỉ vật lý.

  5. Cân nhắc các tùy chọn mua hàng bảo vệ quyền riêng tư: Một số nhà bán lẻ hiện chấp nhận thanh toán bằng tiền điện tử cho các ví phần cứng, giảm thông tin cá nhân gắn liền với mua hàng của bạn.

Ledger đã phản ứng với làn sóng tấn công này bằng cách tung ra một chiến dịch giáo dục nâng cao. Công ty đang cung cấp các hội thảo bảo mật miễn phí và đã cập nhật ứng dụng của mình để bao gồm các cảnh báo nổi bật hơn về cụm từ khôi phục.

Phản ứng của ngành

Ngành công nghiệp tiền điện tử rộng lớn hơn đã chú ý đến sự phát triển của các kỹ thuật phishing này. Liên minh An ninh Crypto, một tập đoàn của các nhà cung cấp ví phần cứng và phần mềm lớn, đã công bố kế hoạch phát triển các giao thức truyền thông tiêu chuẩn hóa giúp người dùng phân biệt giữa các tin nhắn hợp pháp và gian lận.

"Chúng ta cần thiết lập các quy định rõ ràng về những điều mà các công ty sẽ không bao giờ yêu cầu," nói Pamela Morgan, chuyên gia bảo mật tiền điện tử và tác giả của "Cryptoasset Inheritance Planning." "Ngành công nghiệp phải vượt qua cách tiếp cận chia nhỏ hiện tại đối với việc giáo dục người dùng." Nội dung: các chiến dịch kỹ thuật xã hội đa kênh cho thấy rằng bảo mật trong lĩnh vực này đòi hỏi phải liên tục cảnh giác và giáo dục.

Hiện tại, cộng đồng tiền điện tử phải chấp nhận câu thần chú đã bảo vệ vô số người dùng khỏi mất cắp: Nếu bất kỳ ai hoặc bất cứ điều gì yêu cầu cụm từ gốc của bạn - bất kể nó có vẻ hợp pháp đến đâu - thì đó luôn là một trò lừa đảo.

Tuyên bố miễn trừ trách nhiệm: Thông tin được cung cấp trong bài viết này chỉ nhằm mục đích giáo dục và không được coi là lời khuyên tài chính hoặc pháp lý. Luôn tự nghiên cứu hoặc tham khảo ý kiến chuyên gia khi giao dịch với tài sản tiền điện tử.
Tin tức mới nhất
Xem tất cả tin tức
Nasdaq nộp hồ sơ cho 21Shares Dogecoin ETF khi SEC trì hoãn quyết định về Bitwise
1 giờ trước
Nasdaq nộp hồ sơ 19b-4 cho 21Shares Dogecoin ETF. SEC trì hoãn quyết định Bitwise's ETF đến 15/06/2025. Dogecoin giữ mức $0.17 sau biến động nhẹ.
Libre và TON ra mắt quỹ trái phiếu token hóa trị giá $500 triệu cho khoản nợ $2,4 tỷ của Telegram
1 giờ trước
Quỹ on-chain trị giá $500 triệu trên TON token hóa trái phiếu của Telegram, kết nối tài chính truyền thống với blockchain, cho cái nhìn vào tương lai.
BlackRock Nộp Hồ Sơ để Token hóa Cổ Phần Quỹ Kho Bạc $150B Qua Blockchain
3 giờ trước
Bước tiến mới trong tài chính truyền thống với công nghệ sổ cái phân tán.
Mã token được hỗ trợ bằng vàng XAUT Đạt gần 8 tấn dự trữ, Tether báo cáo
4 giờ trước
Mã token XAUT của Tether đạt mức vốn hóa thị trường 770 triệu đô la vào cuối quý 1 năm 2025. Giá mã token tăng mạnh lên mức cao nhất…
SEC hoãn các ETF DOGE và XRP, kết thúc điều tra đồng stablecoin PYUSD mà không có hành động
5 giờ trước
SEC tạm hoãn phê duyệt ETF, trong khi bỏ điều tra PYUSD của PayPal, phản ánh sự mâu thuẫn trong quy định tiền điện tử.
Chuyển đổi từ Bitcoin sang Monero kích thích sự điên cuồng của các sản phẩm phái sinh giữa suy đoán về vụ hack
6 giờ trước
Không gian rộng thêm với khoảng 150 ký tự, lý do là tính thanh khoản thấp và phương thức trộn tiền tệ.
Nasdaq kêu gọi SEC điều chỉnh Chứng khoán số như "Cổ phiếu dưới bất kỳ tên gọi nào khác"
18 giờ trước
Nasdaq yêu cầu điều chỉnh tài sản số như chứng khoán truyền thống, gọi chúng là "cổ phiếu dưới tên gọi khác" để làm rõ quy định.