Ledger 硬體錢包 用戶再次成為詐騙分子的鎖定對象——這次採用前所未見且令人憂慮的方式:實體寄送郵件。最新的網釣行動以 Ledger 名義偽裝,企圖誘導收信人交出 24 個單詞的恢復助記詞,理由是假冒的資安更新。
這次攻擊不僅以實體信件方式進行,更包附精確的個資,推測疑與 Ledger 於 2020 年臭名昭彰的資料外洩有關,當年有數十萬客戶個資遭駭,凸顯加密貨幣產業資料暴露的持續風險。
最早的詐騙舉報來自加密投資人 Jacob Canfield,他在 X(前 Twitter)發布了該詐騙信的照片。這封信精心仿製了 Ledger 官方品牌、載有看似正宗的公司地址、獨特參考號與要求掃描 QR code 的指示。
Canfield 在貼文中指出:「細節之精細令人震驚。從紙張質感到專業排版,都很正式,直到你察覺它竟然要你提供助記詞才大夢初醒。」
詐騙信謊稱用戶需進行「強制認證程序」才能持續存取資金,若 30 天內未完成操作即被限制。QR code 則導向與正品網站極為相似的釣魚網站,要求輸入 24 字母助記詞——也就是你錢包的主鑰匙。
Ledger 隨即在社群媒體重申錢包安全的根本原則:「Ledger 絕對不會要求你的 24 字復原助記詞。任何索取都是詐騙。」官方也已更新資安警示頁面並附上詐騙信範例,協助用戶識別。
精密網釣手法剖析
此次網釣行動危險之處,在於其多層次的偽裝。資安研究員發現,其具備多重精密要素:
- 實體媒介:相較於常見的數位通訊(如可疑網址、拼寫錯誤),實體郵件具備天然的公信力。
- 客製化:收信人表示信件常含全名、住址,甚至具體的 Ledger 機型。
- 緊迫感營造:透過恐嚇失去資產方式,迫使用戶盡快回應。
- 專業外觀:高品質印刷、官方信頭,甚至有些信上還留有仿真的 Ledger 全息標簽。
- 技術層面:QR code 指向設計精良的詐騙網站,還配有正式的 SSL 憑證和相仿網址。
以擊退 WannaCry 勒索病毒著稱的資安顧問 Marcus Hutchins 表示:「這種釣魚手法出現明顯升級。肯投入資源進行實體寄送,足證詐騙集團為追求高額報酬而手段日趨精緻。」
2020 年 Ledger 資料外洩
雖然 Ledger 官方未確認此案與 2020 年的資料外洩直接相關,但資安圈高度懷疑本次行動即是利用當時竊來的情報。當年駭客利用過時的 API 金鑰入侵官方電商及行銷資料庫。
當時資訊外洩規模巨大:
- 約 100 萬筆電郵地址外洩
- 約 27.2 萬名客戶的個資暴露,內容包括:
- 姓名全名
- 電話號碼
- 實體地址
- 訂購及購買記錄
即使該次事件未使任何助記詞、私鑰或密碼貨幣資產外流,卻成為社交工程漏洞。數年以來,受害者陸續遭遇如下情境:
- 釣魚電郵冒充 Ledger 支援
- SMS 假冒帳戶風險警示
- 寄送偽冒 Ledger 設備到家中
- 恐嚇索要贖金
- 如今,則以精心設計的實體郵件進行詐騙
這些資料還多次在暗網市場流通,依客戶資料完整度定價不一。根據區塊鏈分析公司 Chainalysis 指出,該資料外洩已與自 2020 年起高達 1,150 萬美元之加密資產詐騙損失相關。
資料外洩的長尾效應
資安研究員、Have I Been Pwned 創辦人 Troy Hunt 解析 Ledger 資料外洩多年過後依然帶來威脅的原因。
「資料外洩產生連鎖效應,影響不限於事發當下,」Hunt 說道。「一旦個資流入犯罪產業鏈,它不會消失,還可能因整合其他外洩情報而變得更完備、更危險。」
這種情形,稱為「外洩資料複合」,讓 Ledger 客戶個資於黑市極具價值。當它和其他金融或身份外洩數據整合後,即成為高價值加密持有者的詳細輪廓。
2020 年資料外洩的影響歷久不衰。至 2022 年 12 月,駭客論壇上又出現新一批資料包。直到 2023 年 3 月,研究人員還辨識出將 Ledger 客戶資訊結合其他外洩資料的更大資料集,大幅提升可能受害者名單完整性。
加密產業網釣手法演變
這樁事件標誌著瞄準加密貨幣用戶的網釣行動進化。Email、假網站早是詐騙慣用技倆,而實體信件則加入更多層心理操控——利用人們對郵件、官方文件的信任,誘使上當。
資安專家說,收件人對實體郵件的信任門檻明顯高於對數位訊息。大多數人對於可疑郵件已有警戒,反而對載有全名、住址等細節的紙本官方信函較無防心。
許多受害者坦言收到這類郵件時,會產生焦慮、緊張與猶豫。「我一開始就覺得不對勁,但信上有我的全名、住址,甚至記得我什麼時候買的 Ledger,」一位差點受騙的受害人表示。「有那麼一刻,我真的擔心失去加密資產而考慮照做。」
產業警示與用戶守則
這次攻擊強調了加密貨幣產業強化用戶安全教育的重要性。即使 Ledger 等公司事後提升內部資安管控,曝光資料仍有長期滲漏風險,用戶需長期保持警惕。
硬體錢包用戶(不論 Ledger、Trezor、SafePal 還是其他品牌)應遵守以下守則:
- 助記詞神聖不可外傳:任何情況下切勿透露復原助記詞,官方永遠不會私下索取。
- 多管齊下查證資訊:收到有疑慮訊息時,必須透過多個官方管道查證後再行動。
- 零信任原則:對所有陌生聯繫內容要有極高度戒心,尤其是涉及交易與設備資訊者。
- 實體資料管控:購買加密硬體設備時可考慮使用郵政信箱、轉運服務,減少居住地址曝光。
- 隱私優先購買選擇:部分零售商支援加密貨幣交易購買硬體錢包,有助降低個資曝露。
Ledger 針對這波詐騙已啟動加強版安全教育活動,提供免費線上安全講座,並於 App 內強化復原助記詞安全警示。
產業回應
加密貨幣產業對此類進化詐騙亦高度重視。加密安全聯盟(Crypto Security Alliance)已宣布將制定統一通訊規範,協助用戶區分官方與詐騙訊息。
「我們必須讓大家明確了解公司絕不會主動索取什麼資料,」加密安全專家,亦為「Cryptoasset Inheritance Planning」作者的 Pamela Morgan 表示。「產業教育必須擺脫目前四分五裂的做法,朝標準化發展。」
隨加密貨幣日益邁向主流,詐騙手法也將日益複雜,從簡單的 email 演進成精心設計的實體詐騙。 multi-channel social engineering campaigns demonstrates that security in this space requires ongoing vigilance and education.
目前,加密貨幣社群必須秉持一個保護無數用戶免於被竊的信念:只要任何人或任何東西要求你提供助記詞——不論看起來多麼可信——那一定就是詐騙。