Také vám v posledních měsících přišel mail od Ledgeru, abyste si stáhli novou verzi firmwaru? Pozor na to.

Hardwarová peněženka je nejlepší způsob, jak uchovat své kryptoměny v bezpečí. Jenže jak se říká, nejslabší článek je mezi klávesnicí a židlí a toho využívají zlí hoši, kteří chtějí vaši peněženku vykrást. V poslední době byly takové pokusy cílené na uživatele peněženek Ledger.

Jak útok vypadá

Přijde vám nějaký takovýto e-mail „od Ledgeru“:

Proč na to někdo skočí?

  1. vypadá přesně jako mailová komunikace od Ledgeru – útočník obšlehl jejich šablonu, což je triviální
  2. v těle uvádí vaši e-mailovou adresu, kterou jste Ledgeru dali. Jak je to možné? Ledgeru skutečně utekly adresy lidí nakupujících v jejich eshopu (na bezpečnost peněženek to samozřejmě vliv nemá).

Co by vás mělo trknout:

  1. mail je odeslán z divné adresy noreply@ledger.com-client.email (čili doména com-client.email)
  2. firmware peněženek se aktualizuje přímo z peněženky, nic se nestahuje ani neinstaluje do počítače. Pokud chce peněženka aktualizovat, řekne si o to, když ji zapnete. Pokud vám výrobce chce říct, že je k dispozici nová verze firmwaru, pošle vám maximálně mail, abyste peněženku připojili a aktualizovali (toto dělá třeba Trezor), nebude vás ale nutit cokoliv stahovat.
  3. nikdo a nikdy po vás nebude chtít seed. To je to samé, jako by po vás někdo chtěl heslo k přístupu do banky. Opakuji, nikdo a nikdy nepotřebuje váš seed (kromě toho, když vám chce ukrást peníze).

Ledger reagoval

Od Ledgeru následně přišel e-mail, kde uživatele varuje a odkazuje na vysvětení celé kauzy.

Cashback až 8 % z každé platby

Přečtěte si recenzi karty, která vám dokáže vracet až 8 % z každé platby v obchodě, dá vám Spotify a Netflix zdarma a k tomu 25 $ startovací bonus. Přečíst recenzi.

Jak poznat, že tento mail je pravý?

Dobrá otázka. E-mail není nijak bezpečné médium, je lepší přistupovat ke každému tak, jako by byl falešný, hlavně pokud jde o peníze a nikam nic neinstalovat na základě informace v e-mailu. Mohlo by se zdát, že když e-mail přijde z domény ledger.com, bude bezpečný, ale zfalšovat odesilatele není žádný problém, to důkaz pravosti není. Pokud vás ale Ledger varuje před útoky a nenabádá vás ke stažení čehokoliv, bude to asi pravý Ledger. Navíc obsahuje odkazy na web ledger.com a aby útočník umístil své stránky na doménu Ledgeru, musel by být hodně dobrý (vyloučené to ale není).

Závěr

Poučení z této kauzy je jednoduché:

  1. jakmile po vás chce v e-mailu kdokoliv něco stahovat a instalovat, zbystřete.
  2. že zná váš e-mail nebo jméno neznamená, že je to opravdu ten kdo myslíte. Údaje mohl získat kdekoliv.
  3. pokud vám přijde podobný e-mail, použijte Google, sociální sítě a podobně. Poptejte se v okolí, zapátrejte po internetu, jestli už to jiní lidé někde neřeší
  4. snažte se pochopit princip hardwarových peněženek a jejich fungování, je to banka ve vaší kapse a klíče od vaší bezpečnostní schránky se taky nesdílí. Ani s bankou.

Čtěte dále:

Nevíte, která bije? Přihlaste se do e-mailového kurzu pro začátečníky. Nemusíte nikam chodit a je to zadarmo.