Podvod: Výrobce peněženky vám nebude psát, abyste něco stahovali

Píše vám výrobce peněženky, abyste si stáhli novou verzi firmwaru? Pozor na to.

Popisovaný podvod je staršího data, ale podvody podle stejné šablony se dějí stále. A je jedno, jaký výrobce peněženky vám údajně píše. Nereagujte na žádné maily, které vás nutí něco instalovat nebo dokonce někam zadávat váš seed!

Hardwarová peněženka je nejlepší způsob, jak uchovat své kryptoměny v bezpečí. Jenže jak se říká, nejslabší článek je mezi klávesnicí a židlí a toho využívají zlí hoši, kteří chtějí vaši peněženku vykrást. V poslední době byly takové pokusy cílené na uživatele peněženek Ledger.

Jak útok vypadá

Přijde vám nějaký takovýto e-mail „od Ledgeru“:

Proč na to někdo skočí?

1. vypadá přesně jako mailová komunikace od Ledgeru – útočník obšlehl jejich šablonu, což je triviální
2. v těle uvádí vaši e-mailovou adresu, kterou jste Ledgeru dali. Jak je to možné? Ledgeru skutečně utekly adresy lidí nakupujících v jejich eshopu (na bezpečnost peněženek to samozřejmě vliv nemá).

Co by vás mělo trknout:

1. mail je odeslán z divné adresy noreply@ledger.com-client.email (čili doména com-client.email)
2. firmware peněženek se aktualizuje přímo z peněženky, nic se nestahuje ani neinstaluje do počítače. Pokud chce peněženka aktualizovat, řekne si o to, když ji zapnete. Pokud vám výrobce chce říct, že je k dispozici nová verze firmwaru, pošle vám maximálně mail, abyste peněženku připojili a aktualizovali (toto dělá třeba Trezor), nebude vás ale nutit cokoliv stahovat.
3. nikdo a nikdy po vás nebude chtít seed. To je to samé, jako by po vás někdo chtěl heslo k přístupu do banky. Opakuji, nikdo a nikdy nepotřebuje váš seed (kromě toho, když vám chce ukrást peníze).

Ledger reagoval

Od Ledgeru následně přišel e-mail, kde uživatele varuje a odkazuje na vysvětení celé kauzy.

Jak poznat, že tento mail je pravý?

Dobrá otázka. E-mail není nijak bezpečné médium, je lepší přistupovat ke každému tak, jako by byl falešný, hlavně pokud jde o peníze a nikam nic neinstalovat na základě informace v e-mailu. Mohlo by se zdát, že když e-mail přijde z domény ledger.com, bude bezpečný, ale zfalšovat odesilatele není žádný problém, to důkaz pravosti není. Pokud vás ale Ledger varuje před útoky a nenabádá vás ke stažení čehokoliv, bude to asi pravý Ledger. Navíc obsahuje odkazy na web ledger.com a aby útočník umístil své stránky na doménu Ledgeru, musel by být hodně dobrý (vyloučené to ale není).

Závěr

Poučení z této kauzy je jednoduché:

1. jakmile po vás chce v e-mailu kdokoliv něco stahovat a instalovat, zbystřete.
2. že zná váš e-mail nebo jméno neznamená, že je to opravdu ten kdo myslíte. Údaje mohl získat kdekoliv.
3. pokud vám přijde podobný e-mail, použijte Google, sociální sítě a podobně. Poptejte se v okolí, zapátrejte po internetu, jestli už to jiní lidé někde neřeší
4. snažte se pochopit princip hardwarových peněženek a jejich fungování, je to banka ve vaší kapse a klíče od vaší bezpečnostní schránky se taky nesdílí. Ani s bankou.
5. dejte si pozor i na jiné podvodníky

Čtěte dále:

• Ledger má hodně pošramocené jméno
• Ledger Nano S – recenze a návod
• Kontroluje si pravidelně seed ke své peněžence!