Obsah článku
Píše vám výrobce peněženky, abyste si stáhli novou verzi firmwaru? Pozor na to.
Popisovaný podvod je staršího data, ale podvody podle stejné šablony se dějí stále. A je jedno, jaký výrobce peněženky vám údajně píše. Nereagujte na žádné maily, které vás nutí něco instalovat nebo dokonce někam zadávat váš seed!
Hardwarová peněženka je nejlepší způsob, jak uchovat své kryptoměny v bezpečí. Jenže jak se říká, nejslabší článek je mezi klávesnicí a židlí a toho využívají zlí hoši, kteří chtějí vaši peněženku vykrást. V poslední době byly takové pokusy cílené na uživatele peněženek Ledger.
Jak útok vypadá
Přijde vám nějaký takovýto e-mail „od Ledgeru“:
Proč na to někdo skočí?
- vypadá přesně jako mailová komunikace od Ledgeru – útočník obšlehl jejich šablonu, což je triviální
- v těle uvádí vaši e-mailovou adresu, kterou jste Ledgeru dali. Jak je to možné? Ledgeru skutečně utekly adresy lidí nakupujících v jejich eshopu (na bezpečnost peněženek to samozřejmě vliv nemá).
Co by vás mělo trknout:
- mail je odeslán z divné adresy noreply@ledger.com-client.email (čili doména com-client.email)
- firmware peněženek se aktualizuje přímo z peněženky, nic se nestahuje ani neinstaluje do počítače. Pokud chce peněženka aktualizovat, řekne si o to, když ji zapnete. Pokud vám výrobce chce říct, že je k dispozici nová verze firmwaru, pošle vám maximálně mail, abyste peněženku připojili a aktualizovali (toto dělá třeba Trezor), nebude vás ale nutit cokoliv stahovat.
- nikdo a nikdy po vás nebude chtít seed. To je to samé, jako by po vás někdo chtěl heslo k přístupu do banky. Opakuji, nikdo a nikdy nepotřebuje váš seed (kromě toho, když vám chce ukrást peníze).
Ledger reagoval
Od Ledgeru následně přišel e-mail, kde uživatele varuje a odkazuje na vysvětení celé kauzy.
Kde koupit bitcoin?
Doporučuji používat české směnárny a burzy:
Anycoin: Přečtěte si mojí recenzi, nebo se rovnou zaregistrujte.
Coinmate: Přečtěte si mojí recenzi, nebo se rovnou zaregistrujte.
Jak poznat, že tento mail je pravý?
Dobrá otázka. E-mail není nijak bezpečné médium, je lepší přistupovat ke každému tak, jako by byl falešný, hlavně pokud jde o peníze a nikam nic neinstalovat na základě informace v e-mailu. Mohlo by se zdát, že když e-mail přijde z domény ledger.com, bude bezpečný, ale zfalšovat odesilatele není žádný problém, to důkaz pravosti není. Pokud vás ale Ledger varuje před útoky a nenabádá vás ke stažení čehokoliv, bude to asi pravý Ledger. Navíc obsahuje odkazy na web ledger.com a aby útočník umístil své stránky na doménu Ledgeru, musel by být hodně dobrý (vyloučené to ale není).
Závěr
Poučení z této kauzy je jednoduché:
- jakmile po vás chce v e-mailu kdokoliv něco stahovat a instalovat, zbystřete.
- že zná váš e-mail nebo jméno neznamená, že je to opravdu ten kdo myslíte. Údaje mohl získat kdekoliv.
- pokud vám přijde podobný e-mail, použijte Google, sociální sítě a podobně. Poptejte se v okolí, zapátrejte po internetu, jestli už to jiní lidé někde neřeší
- snažte se pochopit princip hardwarových peněženek a jejich fungování, je to banka ve vaší kapse a klíče od vaší bezpečnostní schránky se taky nesdílí. Ani s bankou.
- dejte si pozor i na jiné podvodníky