Podvod: Výrobce peněženky vám nebude psát, abyste něco stahovali

autor: | 30. 11. 2020 | Krypto novinky | 0 komentářů

Také vám v posledních měsících přišel mail od Ledgeru, abyste si stáhli novou verzi firmwaru? Pozor na to.

Hardwarová peněženka je nejlepší způsob, jak uchovat své kryptoměny v bezpečí. Jenže jak se říká, nejslabší článek je mezi klávesnicí a židlí a toho využívají zlí hoši, kteří chtějí vaši peněženku vykrást. V poslední době byly takové pokusy cílené na uživatele peněženek Ledger.

Jak útok vypadá

Přijde vám nějaký takovýto e-mail „od Ledgeru“:

Proč na to někdo skočí?

  1. vypadá přesně jako mailová komunikace od Ledgeru – útočník obšlehl jejich šablonu, což je triviální
  2. v těle uvádí vaši e-mailovou adresu, kterou jste Ledgeru dali. Jak je to možné? Ledgeru skutečně utekly adresy lidí nakupujících v jejich eshopu (na bezpečnost peněženek to samozřejmě vliv nemá).

Co by vás mělo trknout:

  1. mail je odeslán z divné adresy noreply@ledger.com-client.email (čili doména com-client.email)
  2. firmware peněženek se aktualizuje přímo z peněženky, nic se nestahuje ani neinstaluje do počítače. Pokud chce peněženka aktualizovat, řekne si o to, když ji zapnete. Pokud vám výrobce chce říct, že je k dispozici nová verze firmwaru, pošle vám maximálně mail, abyste peněženku připojili a aktualizovali (toto dělá třeba Trezor), nebude vás ale nutit cokoliv stahovat.
  3. nikdo a nikdy po vás nebude chtít seed. To je to samé, jako by po vás někdo chtěl heslo k přístupu do banky. Opakuji, nikdo a nikdy nepotřebuje váš seed (kromě toho, když vám chce ukrást peníze).

Ledger reagoval

Od Ledgeru následně přišel e-mail, kde uživatele varuje a odkazuje na vysvětení celé kauzy.

Jak poznat, že tento mail je pravý?

500 Kč na první nákup bitcoinů

Chcete dostat pětikilo na první nákup BTC? Je to snadné. Zaregistrujte se na české burze Coinmate, nakupte bitcoin za 1 000 Kč a odměna je vaše. Neznáte CoinMate? Přečtěte si recenzi.

Dobrá otázka. E-mail není nijak bezpečné médium, je lepší přistupovat ke každému tak, jako by byl falešný, hlavně pokud jde o peníze a nikam nic neinstalovat na základě informace v e-mailu. Mohlo by se zdát, že když e-mail přijde z domény ledger.com, bude bezpečný, ale zfalšovat odesilatele není žádný problém, to důkaz pravosti není. Pokud vás ale Ledger varuje před útoky a nenabádá vás ke stažení čehokoliv, bude to asi pravý Ledger. Navíc obsahuje odkazy na web ledger.com a aby útočník umístil své stránky na doménu Ledgeru, musel by být hodně dobrý (vyloučené to ale není).

Závěr

Poučení z této kauzy je jednoduché:

  1. jakmile po vás chce v e-mailu kdokoliv něco stahovat a instalovat, zbystřete.
  2. že zná váš e-mail nebo jméno neznamená, že je to opravdu ten kdo myslíte. Údaje mohl získat kdekoliv.
  3. pokud vám přijde podobný e-mail, použijte Google, sociální sítě a podobně. Poptejte se v okolí, zapátrejte po internetu, jestli už to jiní lidé někde neřeší
  4. snažte se pochopit princip hardwarových peněženek a jejich fungování, je to banka ve vaší kapse a klíče od vaší bezpečnostní schránky se taky nesdílí. Ani s bankou.
  5. dejte si pozor i na jiné podvodníky

Čtěte dále:

Líbilo nebo pomohlo? Můžete mě podpořit přes Lightning Network:

lnurl1dp68gurn8ghj7ampd3kx2ar0veekzar0wd5xjtnrdakj7tnhv4kxctttdehhwm30d3h82unvwqhksmmdv4ek2cfsxsyrj00p NEBO bitcoinvkapse@lnbc.cz (?)

Vložit komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *