Obsah článku
Také vám v posledních měsících přišel mail od Ledgeru, abyste si stáhli novou verzi firmwaru? Pozor na to.
Hardwarová peněženka je nejlepší způsob, jak uchovat své kryptoměny v bezpečí. Jenže jak se říká, nejslabší článek je mezi klávesnicí a židlí a toho využívají zlí hoši, kteří chtějí vaši peněženku vykrást. V poslední době byly takové pokusy cílené na uživatele peněženek Ledger.
Jak útok vypadá
Přijde vám nějaký takovýto e-mail „od Ledgeru“:
Proč na to někdo skočí?
- vypadá přesně jako mailová komunikace od Ledgeru – útočník obšlehl jejich šablonu, což je triviální
- v těle uvádí vaši e-mailovou adresu, kterou jste Ledgeru dali. Jak je to možné? Ledgeru skutečně utekly adresy lidí nakupujících v jejich eshopu (na bezpečnost peněženek to samozřejmě vliv nemá).
Co by vás mělo trknout:
- mail je odeslán z divné adresy noreply@ledger.com-client.email (čili doména com-client.email)
- firmware peněženek se aktualizuje přímo z peněženky, nic se nestahuje ani neinstaluje do počítače. Pokud chce peněženka aktualizovat, řekne si o to, když ji zapnete. Pokud vám výrobce chce říct, že je k dispozici nová verze firmwaru, pošle vám maximálně mail, abyste peněženku připojili a aktualizovali (toto dělá třeba Trezor), nebude vás ale nutit cokoliv stahovat.
- nikdo a nikdy po vás nebude chtít seed. To je to samé, jako by po vás někdo chtěl heslo k přístupu do banky. Opakuji, nikdo a nikdy nepotřebuje váš seed (kromě toho, když vám chce ukrást peníze).
Ledger reagoval
Od Ledgeru následně přišel e-mail, kde uživatele varuje a odkazuje na vysvětení celé kauzy.
Jak poznat, že tento mail je pravý?
500 Kč na první nákup bitcoinů
Chcete dostat pětikilo na první nákup BTC? Je to snadné. Zaregistrujte se na české burze Coinmate, nakupte bitcoin za 1 000 Kč a odměna je vaše. Neznáte CoinMate? Přečtěte si recenzi.
Dobrá otázka. E-mail není nijak bezpečné médium, je lepší přistupovat ke každému tak, jako by byl falešný, hlavně pokud jde o peníze a nikam nic neinstalovat na základě informace v e-mailu. Mohlo by se zdát, že když e-mail přijde z domény ledger.com, bude bezpečný, ale zfalšovat odesilatele není žádný problém, to důkaz pravosti není. Pokud vás ale Ledger varuje před útoky a nenabádá vás ke stažení čehokoliv, bude to asi pravý Ledger. Navíc obsahuje odkazy na web ledger.com a aby útočník umístil své stránky na doménu Ledgeru, musel by být hodně dobrý (vyloučené to ale není).
Závěr
Poučení z této kauzy je jednoduché:
- jakmile po vás chce v e-mailu kdokoliv něco stahovat a instalovat, zbystřete.
- že zná váš e-mail nebo jméno neznamená, že je to opravdu ten kdo myslíte. Údaje mohl získat kdekoliv.
- pokud vám přijde podobný e-mail, použijte Google, sociální sítě a podobně. Poptejte se v okolí, zapátrejte po internetu, jestli už to jiní lidé někde neřeší
- snažte se pochopit princip hardwarových peněženek a jejich fungování, je to banka ve vaší kapse a klíče od vaší bezpečnostní schránky se taky nesdílí. Ani s bankou.
- dejte si pozor i na jiné podvodníky
Čtěte dále:
- Neposílejte nikam bitcoiny, neplaťte vyděračům, je to podvod
- Ledger má hodně pošramocené jméno
- Co se stane, když ztratíte zařízení pro dvoufázové ověření k burze?

Líbilo nebo pomohlo? Můžete mě podpořit přes Lightning Network:
lnurl1dp68gurn8ghj7ampd3kx2ar0veekzar0wd5xjtnrdakj7tnhv4kxctttdehhwm30d3h82unvwqhksmmdv4ek2cfsxsyrj00p NEBO bitcoinvkapse@lnbc.cz (?)