کلاهبرداران با ارسال نامه‌های جعلی، عبارت بازیابی کیف پول‌های لجر را سرقت می‌کنند

در روشی جدید و نگران‌کننده، کلاهبرداران اقدام به ارسال نامه‌های جعلی پستی به کاربران کیف پول سخت‌افزاری Ledger کرده‌اند.

به گزارش میهن بلاکچین، این نامه‌های جعلی با استفاده از لوگو، آدرس و حتی شماره مرجع ظاهراً رسمی از سوی شرکت لجر (Ledger) طراحی شده‌اند تا کاملاً قانونی به نظر برسند. اما هدف واقعی آن‌ها تنها یک چیز است: دسترسی به عبارت بازیابی (Seed Phrase) کاربران و خالی کردن کیف پول‌های رمزارزی آن‌ها.

در یکی از نمونه‌ها که توسط تحلیل‌گر فناوری، جیکوب کنفیلد، در تاریخ ۲۹ آوریل منتشر شد، ادعا شده بود برای انجام «به‌روزرسانی امنیتی حیاتی» باید کد QR موجود در نامه را اسکن کرده و سپس عبارت ۲۴ کلمه‌ای بازیابی کیف پول خود را وارد کند.

در این نامه آمده است که در صورت انجام ندادن این فرآیند، دسترسی کاربر به دارایی‌هایش محدود خواهد شد – تهدیدی که تنها برای ترساندن و فریب کاربر طراحی شده است.

لجر (Ledger) واکنش نشان داد: مراقب باشید!

پس از انتشار این نامه، شرکت Ledger اعلام کرد که این اقدام کلاهبرداری فیشینگ است و بار دیگر به کاربران خود هشدار داد:

لجر (Ledger) هرگز با شما تماس نمی‌گیرد، پیام دایرکت نمی‌دهد و هرگز از شما نمی‌خواهد عبارت ۲۴ کلمه‌ای بازیابی را وارد کنید. اگر کسی چنین درخواستی کرد، صددرصد کلاهبردار است.

همچنین تأکید شد که هیچ‌گاه با حساب‌هایی که ادعا می‌کنند از طرف Ledger هستند یا وعده بازگرداندن دارایی را می‌دهند، وارد گفتگو نشوید.

ردپایی از یک افشای اطلاعات قدیمی؟

جیکوب کنفیلد احتمال داده که این کلاهبرداری‌ها به اطلاعات لو رفته کاربران لجر در سال ۲۰۲۰ مربوط باشد. در آن سال، هکری توانست به پایگاه داده Ledger نفوذ کند و اطلاعات شخصی بیش از ۲۷۰ هزار کاربر – از جمله نام، شماره تماس و آدرس خانه – را در اینترنت منتشر کند.

این اولین‌بار نیست که چنین حملاتی روی می‌دهد. سال بعد از افشای اطلاعات، برخی کاربران گزارش داده بودند که دستگاه‌های جعلی لجر برایشان ارسال شده که با بدافزار آلوده بوده‌اند و در صورت استفاده، می‌توانستند کنترل کامل کیف پول را به دست مهاجم بسپارند.

یادآوری مهم برای همه کاربران رمزارز

عبارت بازیابی (Seed Phrase) کلید ورود به کیف پول شماست. اگر کسی – چه از طریق ایمیل، پیام، تماس یا حتی نامه‌ی فیزیکی – آن را درخواست کرد، بدون هیچ تردیدی کلاهبردار است. هیچ شرکتی، حتی سازنده کیف پول شما، نباید و نمی‌تواند به این عبارت دسترسی داشته باشد یا آن را از شما بخواهد.