מתקפת פישינג כנגד ארנקי Ledger

Web Alerts
, , ,
1

רקע

Ledger היא יצרנית ארנקי חומרה להחזקת נכסי קריפטו, כגון ביטקוין, איתריום ועוד. כאשר מאתחלים את הארנק מייצרים 24 מילים אשר בונים את הזרע (seed) ממנו המפתח הפרטי נוצר, בעזרת מילים אלו ניתן לשחזר את הארנק ולהשיג גישה לנכסים שמוחזקים בו. לדג’ר מזהירה את המשתמשים שלה כי לעולם לא תבקש מהם את המילים שיצרו את הזרע (seed), ותמיד צריך לשמור אותם בסוד (סוד זה משהו שרק את.ה יודע.ת).

לדג’ר באופן אקטיבי פועלת להסיר אתרי דיוג מהרשת, אך זה לוקח זמן.

חיפשת, קיבלת. סקאם.

הכל התחיל מחיפוש, במקרה הזה לא היה לי uBlock Origin (חוסם פרסומות) מופעל, אז הופיעו לי הפרסומות (sponsored links) שמופיעות מעל התוצאות הרלוונטיות, מה שאומר שמי שלא שם לב לקישורים, עלול להכנס אליהם בטעות, וכן זה קרה גם לי מספר פעמים בעבר (פשוט רגיל לא לראות פרסומות).

image
image1736×1164 329 KB

image
image1726×1763 450 KB

נראה שהתוקפים לא מקשרים ישירות לדומיין הזדוני, אלא משתמשים באתרים שנפרצו ומבצעים מהם redirect לאתר הזדוני.

Punycode

אם לחצתם על הקישור, יתבצע redirect מהאתרים שהפרסומת בגוגל מפנה אליהם לאתר התוקף.

image
image1920×1185 82.9 KB

מעבר לדמיון לאתר הרשמי של לדג’ר, אם תסכלו על הדומיין, תראו שהם משתמשים ב-Punycode (ė), מה שעלול להפיל אף אנשים שמסתכלים על הדומיין אליו הם נכנסו. על כל קישור שתלחצו באתר תועברו ל-Ledger Live שנראה כמו ממשק וואבי - דבר כזה לא קיים! זה לא חדש שניתן לייצר ממשק וואבי, במיוחד למוצרים מבוססי Electron, אך גם אם זה המצב - אני באופן אישי הייתי סופר זהיר בתפעול אתר שכזה.

Ledger Live, Web App?

יש דמיון לאפליקצית Ledger Live, מה שעלול לגרום לך לחשוב שמדובר בגרסת וואב של אותה אפליקציה.

image
image2959×1651 209 KB

לאחר תבחרו בהתקן שיש לכם, יופיעו כביכול מסך התחברות.

image
image2595×1445 173 KB

גם אם לא מחובר שום התקן, הוא ימשיך לעבוד, ולבסוף יופיע מסך כשלון.

image
image2673×1346 257 KB

פה חשדתי

תכלס, חשדתי עוד ב-Sponsored links, אבל אם עד עכשיו לא נדלקה לך נורת אזהרה…

image
image2666×1843 210 KB

לאחר שתלחצו על הכפתור “Restore my wallet”, תתבקשו להכניס את המילות Seed, מה שיאפשר לתוקף לשחזר את הארנק שלכם, ולגנוב ממנו את כל הנכסים.

מסקנות

  1. תמיד תשימו לב לאתר אליו אתם נגשים.
  2. אל תחלקו את המילות Seed עם אף גורם!
  3. תדווחו על אתרי פישינג, בשביל למנוע מאחרים ליפול בפח.

מידע נוסף

רישום דומיין 
$ whois lėdger.net

   Domain Name: XN--LDGER-6ZA.NET
   Registry Domain ID: 2757615163_DOMAIN_NET-VRSN
   Registrar WHOIS Server: whois.reg.com
   Registrar URL: http://www.reg.ru
   Updated Date: 2023-02-10T19:21:49Z
   Creation Date: 2023-02-10T19:18:48Z
   Registry Expiry Date: 2024-02-10T19:18:48Z
   Registrar: REGISTRAR OF DOMAIN NAMES REG.RU LLC
   Registrar IANA ID: 1606
   Registrar Abuse Contact Email: abuse@reg.ru
   Registrar Abuse Contact Phone: +74955801111
   Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited
   Name Server: NS1.REG.RU
   Name Server: NS2.REG.RU
   DNSSEC: unsigned
   URL of the ICANN Whois Inaccuracy Complaint Form: https://www.icann.org/wicf/
>>> Last update of whois database: 2023-07-04T10:00:45Z <<<

Domain name: XN--LDGER-6ZA.NET
Domain idn name: LĖDGER.NET
Registry Domain ID: 2757615163_DOMAIN_NET-VRSN
Registrar WHOIS Server: whois.reg.com
Registrar URL: https://www.reg.com
Registrar URL: https://www.reg.ru
Updated Date: 2023-02-10T19:21:49Z
Creation Date: 2023-02-10T19:18:48Z
Registrar Registration Expiration Date: 2024-02-10T19:18:48Z
Registrar: Registrar of domain names REG.RU LLC
Registrar IANA ID: 1606
Registrar Abuse Contact Email: abuse@reg.ru
Registrar Abuse Contact Phone: +7.4955801111
Status: clientTransferProhibited http://www.icann.org/epp#clientTransferProhibited
Registry Registrant ID: 
Registrant Name: Olga Farina
Registrant Organization: Private Person
Registrant Street: ul. Avtomobilnaya 10-2
Registrant City: g. Velikie Luki
Registrant State/Province: obl. Pskovskaya
Registrant Postal Code: 182100
Registrant Country: RU
Registrant Phone: +7.9059083922
Registrant Phone Ext:
Registrant Fax: 
Registrant Fax Ext:
Registrant Email: zdcjeiocpfqyu@eurokool.com
Registry Admin ID: 
Admin Name: Olga Farina
Admin Organization: Private Person
Admin Street: ul. Avtomobilnaya 10-2
Admin City: g. Velikie Luki
Admin State/Province: obl. Pskovskaya
Admin Postal Code: 182100
Admin Country: RU
Admin Phone: +7.9059083922
Admin Phone Ext:
Admin Fax: 
Admin Fax Ext:
Admin Email: zdcjeiocpfqyu@eurokool.com
Registry Tech ID:  
Tech Name: Olga Farina
Tech Organization: Private Person
Tech Street: ul. Avtomobilnaya 10-2
Tech City: g. Velikie Luki
Tech State/Province: obl. Pskovskaya
Tech Postal Code: 182100
Tech Country: RU
Tech Phone: +7.9059083922
Tech Phone Ext:
Tech Fax: 
Tech Fax Ext:
Tech Email: zdcjeiocpfqyu@eurokool.com
Name Server: ns1.reg.ru 
Name Server: ns2.reg.ru 
DNSSEC: Unsigned
URL of the ICANN WHOIS Data Problem Reporting System: http://wdprs.internic.net/
>>> Last update of WHOIS database: 2023.07.04T13:01:02Z <<<
כתובת שרת 
$ host lėdger.net

xn--ldger-6za.net has address 190.115.27.162
$ whois 190.115.27.162

%  2023-07-04 07:03:25 (-03 -03:00)

inetnum:     190.115.16.0/20
status:      allocated
aut-num:     AS262254
owner:       DDOS-GUARD CORP.
ownerid:     BZ-DALT-LACNIC
responsible: Evgeniy Marchenko
country:     BZ
phone:       +7  9282797045 [0000]

על פי רישום הדומיין, והאירוח, נראה כי מדובר במתקפה שהמקור שלה ברוסיה.

לייק 1
2

אחד הפוסטים פוצל לנושא חדש: נסיון פישינג לבעלי ארנק לדג’ר