Ledger 用戶捲入與 2020 年資料外洩有關的郵遞釣魚攻擊

Ledger 硬件錢包用戶再次成為詐騙目標——今次手法罕見而令人憂慮：以實體郵件進行攻擊。最新的釣魚行動冒充 Ledger，公司嘗試誘騙收件人，在所謂「安全更新」名義下交出 24 字恢復種子詞。

今次攻擊以實體信件傳送，內含詳細個人資料，顯示大有可能與 Ledger 於 2020 年臭名遠播的資料外洩有關。該次洩密事故令數十萬用戶資料外洩，突顯在虛擬貨幣領域，資料外洩帶來的持續風險。

第一批報告來自虛擬貨幣投資者 Jacob Canfield，他在 X（前稱 Twitter）公開了該詐騙信件照片。信件仿製 Ledger 官方設計，附上公司地址、獨特參考編號及掃描 QR code 的指示。

Canfield 指出：「細節位做到極度逼真。由紙質到排版一絲不苟，直至你意識到內容在要求甚麼才恍然大悟。」

信中虛假聲稱為「強制驗證程序」，要求用戶於 30 日內依指示操作，否則錢包資產會被限制。QR code 會帶用戶到一個高度仿真的網站，詐騙用戶輸入 24 字恢復種子詞，那正是錢包和資產的主鑰匙。

Ledger 於社交平台即時回應，重申保安原則：「Ledger 絕不會要求你交出 24 字恢復種子詞，任何要求都是詐騙。」公司同時更新了安全警示網頁，展示該詐騙信件例子。

高級釣魚詐騙的拆解

今次釣魚攻擊的危險之處，在於其多層次營造真實感。資安研究人員分析後發現幾個特點：

資安顧問 Marcus Hutchins（曾阻止 WannaCry 勒索病毒攻擊）評論指：「這反映釣魚技倆重大升級。黑客願意投資郵遞信件，反映潛在收穫可觀，以及針對虛擬貨幣用戶的詐騙日益複雜。」

雖然 Ledger 並未正式確認直接關聯，但資安界和幣圈高度懷疑本次釣魚行動利用了 2020 年 7 月大型資料外洩中的資料。當時，黑客利用已過期的 API key 入侵公司電子商務及市場推廣資料庫。

洩漏規模龐大：

雖然事件未牽涉錢包種子、私鑰或加密資產，但間接造成長期的社工風險。數年來不少受害者陸續遭到：

洩漏資料反覆出現在暗網市場，根據完整度售價不一。據區塊鏈數據公司 Chainalysis 指出，這些資料已累計造成至少 1,150 萬美元的虛擬資產被盜。

資安專家及「Have I Been Pwned」創辦人 Troy Hunt 解釋為何 Ledger 洩密年後仍造成威脅。

「資料洩漏效應會不斷擴散，遠超事件當下。一旦個人資料進入犯罪生態系，並不會過期，反而會與其他洩漏資料組合增值，風險變得更高」。

此現象稱為「複合洩露」，令 Ledger 資料對黑客更具吸引力。如果與其他金融或身份洩漏資料交叉整合，會形成極具價值的虛擬幣持有人標靶清單。

2020 年洩露資料「經久不衰」，2022 年 12 月新一批已外洩資料再於駭客論壇流傳，到 2023 年 3 月更有融合多個來源的新型客戶資料集出現，使攻擊目標輪廓更完整。

此事件標誌着詐騙針對虛擬貨幣持有人的新進化。電郵及網站偽冒早已屢見不鮮，而實體郵件多了層心理操作——利用用戶對官方信件的信任心理，尤其當中出現個人化資料時更難以分辨真偽。

資安專家解釋，面對郵遞文件時，人更傾向信任這些仿官方來信。絕大多數人對電郵詐騙已有警覺，對含完整個人資訊的實體文件戒心反而較低。

很多受害者坦言收信時會感到焦慮或慌張，進退兩難。

「我知有可疑，但信裏有地址、有全名，還講到何時買的 Ledger，一瞬間真係差點信左，驚失資產，幾乎照做。」一位差點中招的受害人如是說。

這次攻擊突顯著提升業界資訊安全教育的重要性。雖然 Ledger 受過教訓後已加強保安，資料洩漏餘波依然揮之不去，用戶必須時刻保持警覺。

不論你用 Ledger、Trezor、SafePal 或其他錢包，都應遵守以下重點：

Ledger 對最新詐騙浪潮已加強用戶教育，推出免費資安網上講座，並於 App 內新增恢復詞安全警示。

整個加密貨幣業界已察覺釣魚攻擊的高度演進。Crypto Security Alliance（主要錢包商組成的聯盟）宣布將制定標準化傳訊協議，令用戶易於分辨官方與詐騙溝通。

「我們要建立明確規範，讓大家知道公司絕不會要求哪些資料。」加密貨幣保安專家、著作《Cryptoasset Inheritance Planning》作者 Pamela Morgan 表示。「整個行業教育不能再像現在那麼零散。」

隨着加密貨幣逐步普及，詐騙手法亦只會愈趨複雜。從早期的簡單電郵釣魚，發展到精心設計的實體郵件攻擊，業界及用戶都必須提高警覺。多渠道社交工程攻擊活動顯示，這個領域的安全需要持續保持警惕和加強教育。

目前，加密貨幣社群必須謹記一句已經保護無數用戶免受盜竊的信條：如果任何人或任何事要求你提供種子短語——無論看起來多麼可信——這一定是騙局。