Klien buku besar yang datanya dicuri dalam pelanggaran menjadi sasaran penipuan phishing minggu lalu. Di bawah ini, tim ahli kami di Lab Keamanan Kraken telah mengumpulkan analisis serangan yang sedang berlangsung terhadap klien Ledger.

Studi kasus instruktif ini terbukti berguna bagi semua pemegang crypto.

Karena phishing terus menjadi salah satu metode utama yang digunakan oleh peretas dan penipu untuk mencuri crypto, kami percaya bahwa kesadaran yang lebih baik tentang metode phishing sangat penting dalam komunitas crypto.

Perhatikan bahwa serangan phishing ini tidak terkait dengan kekurangan apa pun di dompet Ledger atau firmware-nya. Sebagai bentuk manipulasi psikologis, serangan phishing tidak dapat dihindari melalui teknologi saja - pendidikan dan kesadaran adalah kuncinya.

Email dan Teks Phish

Banyak pemilik Ledger menerima email atau pesan teks yang mirip dengan yang di bawah ini, meminta mereka untuk mengunduh versi baru dari perangkat lunak Ledger mereka.

Para penjahat kemungkinan besar menggunakan informasi kontak dari 9.500 pelanggan yang terlibat dalam pelanggaran Ledger Juni 2020. Sebagian besar, jika tidak semua, email datang dari alamat info@ledgersupport.io yang dikendalikan penyerang.

Situs yang Dikloning

Jika korban mengklik tautan di email, mereka akan dialihkan ke situs Ledger palsu yang sudah dikloning.

Penyerang menggunakan sejumlah pengalihan dan halaman yang salah eja untuk mengelabui korban dan untuk merotasi halaman seperti yang terdeteksi.

Korban akhirnya dikirim ke halaman unduhan dengan tautan ke versi palsu dari aplikasi desktop Ledger Live. Pada gambar di bawah, perhatikan bahwa penyerang menggunakan domain leGDer.com yang salah eja.

Malware

Malware yang diunduh akan tampak sangat mirip dengan aplikasi Ledger Live yang sah, kecuali aplikasi tersebut akan meminta frase pemulihan korban dan kemudian mencurinya.

Setelah korban memasukkan frase pemulihan mereka, malware mengirimkan frase pemulihan ke penyerang di loldevs.com.

Dengan frase pemulihan, penyerang dapat memulihkan dompet korban dan kemudian mengirimkan dana tersebut ke salah satu dompet penyerang.

Response

Tim Ledger dan yang lainnya melaporkan domain ini dan, dalam waktu 48 jam, banyak dari domain tersebut dinonaktifkan atau sekarang dialihkan ke layanan Ledger yang sah, untuk sementara membatalkan serangan ini.

Namun, tampaknya penyerang terus mengalihkan URL untuk mempertahankan aksinya.

Lindungi Diri Anda

Ini adalah teknik manipulasi psikologis dan perangkat lunak jahat standar, jadi kiat kebersihan keamanan yang normal berlaku:

• Berhati-hatilah dengan tautan dan berhati-hatilah saat diminta untuk menginstal perangkat lunak.
• Tinjau email atau teks yang mencurigakan dengan cermat.
• Jangan pernah mengetik kata-kata pemulihan Anda menjadi apa pun.
• Gunakan satu browser dan selalu perbarui dengan patch terbaru.
• Berhati-hatilah terhadap sebuah kejutan hadiah, gunakan perasaan terdesak dan waspadai kaitannya. Penyerang memangsa rasa urgensi, sehingga Anda bisa menghindari banyak serangan hanya dengan menunggu beberapa hari.
• Jangan pernah mengunjungi situs yang menggunakan punycode, yang digunakan hampir secara eksklusif oleh penyerang. Dalam kampanye ini, penyerang menggunakan xn--ledgr-9za.com, yang akan diterjemahkan secara otomatis oleh browser untuk menampilkan karakter aksen, yang mengelabui korban. 

• Untuk memverifikasi apakah situs menggunakan punycode, Punycoder.com ada alat untuk memverifikasi karakter yang mirip.

Jika Anda menjadi target dalam aksi ini atau pernah membeli sebuah ledger, Anda harus ekstra hati-hati karena Anda akan terus menjadi target penipuan terkait kripto.