20 декабря база данных 272 000 пользователей аппаратных криптокошельков Ledger попала в открытый доступ. Эти данные не содержат финансовой информации, но злоумышленники знают имена, домашние адреса и номера телефонов клиентов Ledger. Некоторые из них уже получили угрозы и стали жертвами хакерских атак. Разобрались в инциденте и сделали инструкцию о том, как обезопасить свои данные и каких мер безопасности придерживаться, чтобы уберечь свои монеты на кошельках.

Как данные Ledger попали в открытый доступ 

20 декабря данные пользователей Ledger были опубликованы на хакерском форуме Raidforums, после чего разлетелись по аналогичным сообществам. Утечку обнаружили сотрудники Cyble — компании, занимающейся кибербезопасностью. Они поделились информацией с изданием Bleeping Computer и совместно убедились в ее достоверности. Судя по всему, базой данных пользователей Ledger торгуют в Даркнете еще с лета. 21 декабря глава Ledger Паскаль Готье подтвердил подлинность утекшей информации и предположил, что хакеры опубликовали базу данных, украденную в июне этого года.

Скриншот сообщения хакера на Raidforums о выкладывании базы данных Ledger.
Скриншот сообщения хакера на Raidforums о выкладывании базы данных Ledger.

Всего в открытый доступ попали электронные почты 1 075 382 пользователей, подписавшихся на рассылку новостей Ledger, а также электронные почты, домашние адреса и номера телефонов 272 853 пользователей, заказавших аппаратные кошельки компании. 

Утечка данных Ledger— последствия июньского взлома 

В Ledger считают, что слитые данные были украдены еще в июне этого года. Тогда компания заявила, что злоумышленники получили примерно миллион электронных адресов пользователей и около 9 500 более детальных персональных данных: почтовые адреса, имена, фамилии и номера телефонов (хранить эту информацию какое-то время компания обязана по закону). Однако утечка оказалась намного шире, чем предполагалось изначально. 

Недавно компания Ledger подробно объяснила, как хакеры смогли добыть эти данные. Преступникам удалось получить доступ к базе данных маркетинга и электронной коммерции, которая содержала только сведения, необходимые для подписки на рассылку компании и заказа аппаратного кошелька. Никакой финансовой информации в ней не было. 

В Ledger также подробно разобрали механизм атаки. Так, хакеры получили доступ к части базы данных электронной коммерции и маркетинга через API-ключ. В августе 2018 года Ledger предоставила такой доступ маркетинговой компании-подрядчику Iterable, но API оказался неправильно настроен. В компании предполагают, что уязвимость использовалась злоумышленниками с апреля по июнь 2020 года. После обнаружения проблемы API-ключ был деактивирован, а уязвимость устранена. 

Ledger не заплатит компенсацию пользователям 

Ledger заверила, что утечка данных никак не отразилась на безопасности аппаратных кошельков компании и средствах на них. Хакерам стала доступна лишь персональная информация пользователей, а не их мнемонические фразы, пароли и балансы кошельков. 

Компания пообещала работать над повышением уровня безопасности и в очередной раз предупредила о возможных фишинговых атаках на пользователей, чьи данные оказались скомпрометированными — мошенники могут попытаться обманом узнать мнемоническую фразу (seed-фраза — 24 слова, необходимые для восстановления доступа к кошельку). 

21 декабря в комментариях изданию Decrypt гендиректор Ledger Паскаль Готье заявил, что они не станут предоставлять никакой компенсации пользователям, чьи домашние адреса оказались скомпрометированы. По его мнению, невозможно заплатить компенсацию миллиону человек — это похоронит компанию. Вместо это компания «предпочитает смотреть в будущее». 

«Если кто-то из юристов захочет начать коллективный иск, я уверен, что многие из нас присоединятся к нему. Ситуация сейчас стала в 10 000 раз хуже», — сказал пользователь Twitter Райан Ола. В комментариях в Twitter многие пользователи заговорили о готовности подать в суд на Ledger.

Ledger считает, что со своей стороны сделала все возможное для того, чтобы утечка не отразилась на пользователях. Компания дала много комментариев для прессы, подробно рассказала о случившемся, а также предоставила отчеты о том как борется с мошенниками, какие фишинговые атаки могут произойти и как она смогла предотвратить некоторые из них. Более того, Ledger регулярно сотрудничает с правоохранительными органами. Поэтому если клиенты переходят по ссылкам из писем, это во многом их вина. В июле компания отправила электронное письмо с предупреждением о возможном фишинге всем своим клиентам, но только 40% открыли это уведомление. В октябре аналогичное письмо открыли только 27% получателей. 

Чем опасна утечка данных пользователей Ledger 

В первую очередь эта ситуация несет угрозу тем, чьи данные оказались в открытом доступе. Держатели монет, купившие кошелек, скорее всего, внесли на него не $100, а гораздо большую сумму. Для мошенников наличие держателя монет в слитой базе — свидетельство того, что им, вероятно, есть чем поживиться. 

В октябре стало известно о нескольких фишинговых атаках на пользователей Ledger. Им приходили письма, в которых говорилось об утечке данных, заражении кошелька и необходимости срочно обновить программное обеспечение устройства, перейдя по указанной ссылке. Однако она вела на поддельный сайт компании с доменом «.io» вместо верного «.com». Введя свои данные, пользователи предоставляли мошенникам доступ к своим закрытым ключам, что позволяло тем вывести все средства с кошельков. 

Пример фишинговой атаки под видом письма от Паскаля Готье, предлагающего загрузить обновления прошивки кошелька. Хакеры изобретательны — 8 декабря компания действительно объявила о новом обновлении. Источник
Пример фишинговой атаки под видом письма от Паскаля Готье, предлагающего загрузить обновления прошивки кошелька. Хакеры изобретательны — 8 декабря компания действительно объявила о новом обновлении. Источник

Ledger быстро отреагировал на атаку, отправив клиентам предупреждение о попытках фишинга и сделав заявление об этом на официальном сайте. Компания отмечает, что для поимки преступников регулярно сотрудничает с правоохранительными органами и уже уничтожила свыше 170 мошеннических сайтов. Но фишинговые атаки не прекратились и продолжаются до сих пор. 

Более того, уже начали появляться сообщения о потере средств. Так, 9 декабря популярный биткоин-энтузиаст Брэд Миллс рассказал своим 19 000 подписчикам в Twitter о человеке, который якобы потерял $50 000. В Twitter есть и другие истории о потере средств на кошельке после перехода по фишинговой ссылке. Многие пользователи сообщают, что атаки длятся уже несколько месяцев, а некоторые говорят, что получают мошеннические сообщения каждые пару дней.

Однако фишинговые атаки — это лишь одна из возможных угроз. Пользователь Reddit под ником /goldcakes рассказал, что ему позвонил кто-то, представившийся наркоманом, и заявил, что знает, что у него полно биткоинов. Он требовал перевести ему 10 XMR (≈$1 570), в противном случае грозился приехать к пользователю домой и убить всю его семью. 

Пользователь Reddit под ником /kindcrypto заявил, что получает угрозы через SMS. Еще один пользователь ресурса под ником /torkildj рассказал, что хакеры скопировали его SIM-карту и получили доступ к его почте. Спустя какое-то время неизвестный вломился в квартиру, в которой он раньше жил, но ничего не украл. Во взломанной переписке были указаны внушительные суммы, которые пользователь вложил в покупку биткоина после продажи дома. Вероятно, злоумышленники искали кошелек с монетами. Пользователь Twitter под ником @jimbochewdip также утверждает, что хакеры сделали дубликат его SIM-карты и использовали ее для вывода средств со счетов на бирже Coinbase.

Баланс одного из кошельков хакеров, рассылающих фишинговые письма. На нем 60.19 ВТС (≈1.42 млн). Последнее пополнение было сделано 11 декабря. Источник

Как распознать фишинговые письма 

Фишинг — одна из самых распространенных схем интернет-мошенничества. Злоумышленники рассылают электронные письма или сообщения в мессенджеры и соцсети, в надежде, что пользователь перейдет по ссылке, запускающей вирус или ведущей на фейковый сайт. 

Защититься от фишинга несложно, но надо быть бдительным: 

  • Не открывайте ссылки в подозрительных письмах и сообщениях; 
  • Перепроверьте адрес отправителя. Обычно злоумышленники меняют в адресе одну-две буквы или доменное имя. Если получили сообщение в мессенджере якобы от поддержки проекта или администрации чата, перепроверьте контакты или напишите в поддержку сами через официальные каналы. Если знаете человека лично, но его сообщение кажется вам подозрительным, перезвоните ему или напишите в его аккаунт в другой соцсети. 
  • Проверяйте URL-адрес сайта в браузерной строке, чтобы быть уверенным, что находитесь на официальной странице проекта. В URL фейковых сайтов обычно есть ошибки в одну-две буквы в названии (biinance, c0inbase) или указана другая доменная зона (например, .ru вместо .com).

Что делать, если вы стали жертвой утечки данных Ledger

Если вы подписывались на рассылку Ledger или купили их кошелек, проверить, не скомпрометированы ли ваши данные, можно на специальной странице argent.xyz. Если ваш адрес присутствует в базе, то стоит: 

  • сменить почтовый ящик, 
  • обновить PIN-код устройства, 
  • сменить номер телефона для двухфакторной аутентификации. 

Также для повышения безопасности при создании нового пароля используйте несколько типов символов: заглавные и строчные буквы, а также специальные символы.

Если вы получили письмо якобы от Ledger или другого производителя кошельков, в котором вам предлагают обновить прошивку, не переходите по ссылкам из него, не убедившись в его подлинности. Если не уверены, обратитесь в службу поддержки, чтобы выяснить, является ли полученное вами письмо официальным или мошенническим.

Для пользователей, чьи данные оказались скомпрометированы, Ledger опубликовал специальную инструкцию. Среди прочего компания советует:

  • Не паниковать — ваши средства все еще в безопасности. Пока вы не сообщили злоумышленникам seed-фразу, монеты продолжают храниться в кошельке.

Помните, что мошенники играют на вашем страхе, чтобы заставить вас действовать опрометчиво. Поэтому никогда не действуйте под давлением. Если вы меняете пароль, электронную почту или создаете резервную копию своего устройства, не торопитесь, чтобы убедиться, что все делаете правильно;

  • Не идите на поводу у злоумышленников. Не поддавайтесь шантажу и не платите выкуп. Большинство угроз — не больше, чем слова. На самом деле, мошенники стараются добиться своего наиболее простыми способами. Отправить фишинговое письмо гораздо легче, чем совершить реальное ограбление, грозящее намного большими тюремными сроками. Если вы столкнетесь с угрозами физического воздействия, немедленно обратитесь в полицию. 

Как защитить средства на аппаратном кошельке 

Главные риски при использовании аппаратных кошельков — физический доступ к кошельку и социальная инженерия, при использовании которой вы сами сообщите мошенникам все данные для входа в устройство. Вот как от этого защититься:

Храните кошелек в надежном месте. Если устройство окажется в руках квалифицированного злоумышленника, рано или поздно он его взломает. Отнеситесь к хранению кошелька так же ответственно, как к хранению наличных. 

Кошелек Ledger Nano X. Средства, хранящиеся в нем, защищены с помощью seed-фразы и дополнительного секретного пароля, известных только владельцу. Источник

Убедитесь, что приобрели не скомпрометированный кошелек. Мошенники могут создавать поддельные сайты производителей кошельков, продавать взломанные устройства с рук и даже вскрывать оригинальные кошельки и взламывать их. Поэтому покупайте кошельки только в официальных магазинах и на сайтах производителя или у рекомендованных им дистрибьюторов. Проверяйте целостность упаковки и кошелька — нет ли следов вскрытия. 

Перепроверьте адрес получателя перед отправкой средств. Взломанные устройства перенаправят ваши монеты в кошелек преступника. Перед проведением транзакции убедитесь, что все знаки в адресе получателя верные. 

Используйте максимальную защиту. Сделайте так, чтобы совершить транзакцию было как можно сложнее. Поставьте как можно больше сложных паролей, PIN-кодов, seed-фраз, блокировку после неверного ввода PIN-кода.

Пользуйтесь кошельком с мультиподписью, при которой транзакции подписываются несколькими приватными ключами. 

Создайте резервную копию кошелька, позволяющую получить доступ к средствам в случае потери или порчи устройства. 

Никому не сообщайте свою мнемоническую фразу и не вводите ее в какое-либо приложение или в форме на сайте. Ее можно вводить только в кошельке, доступ к которому вы хотите получить. Ни Ledger, ни другой производитель кошельков никогда не спросит у вас seed-фразу. Также ни один из них никогда не свяжется с пользователем через SMS или телефонный звонок. 

Храните свою мнемоническую фразу в недоступном для других месте. Если вы потеряете ее или забудете, то утратите доступ к средствам на кошельке. Не храните лист с мнемонической фразой в домашнем сейфе. В случае взлома это самое первое место, где злоумышленники будут его искать. 

Не ленитесь придумывать пароли. Не используйте одинаковые пароли для разных сервисов и кошельков. 

Используйте двухфакторную аутентификацию (2FA) — подтверждение подлинности пользователя с помощью ввода пароля и дополнительного кода, отправленного по SMS, уведомление на мобильном устройстве или случайно сгенерированный пароль через специальное приложение.

Не стоит выбирать идентификацию через SMS — злоумышленники могут сделать копии SIM-карты. Лучше используйте такие приложения, как Google Authenticator, Authy, Microsoft Authenticator, Duo, Authenticator plus, FreeOTP или аппаратное устройство вроде Yubikey. Такие приложения привязываются к телефону, а не к номеру, и генерируют коды, актуальные всего несколько десятков секунд. Для двухфакторной идентификации также можно использовать аппаратный кошелек, например, Ledger

Используйте VPN, чтобы скрыть ваш IP-адрес в Интернете. Тогда злоумышленники не смогут вычислить, откуда именно вы выходили в Сеть. 

Не используйте номер телефона, на который зарегистрированы ваши крипто-аккаунты. Не публикуйте этот номер в Интернете и не говорите его никому. В идеале это должен быть номер, который вы используете только для этого конкретного аккаунта. Не используйте этот номер для привязки к аккаунтам в соцсетях или к почте. Чтобы номер не заблокировали, используйте эту SIM-карты хотя бы раз в несколько месяцев и регулярно пополняйте счет. 

Установите дополнительный пароль для SIM-карты, который необходимо назвать оператору при действиях с номером. 

Эти меры предосторожности помогут защититься от SIM-свопинга — копирования мошенниками SIM-карты или ее перевыпуска на свое имя. Злоумышленники могут убедить поддержку сотовых операторов, что являются вами, и выпустить новую карту с вашим номером на себя. После этого им будет несложно получить доступ ко всем вашим аккаунтам, привязанным к номеру телефона.

Сохраняйте конфиденциальность. По возможности не сообщайте подозрительным лицам своих персональных данных: ФИО, данных паспорта и реквизитов других документов. Чем больше у мошенников информации о вас, тем легче перевыпустить SIM-карту или отыскать ваши счета. Не распространяйтесь публично о том, сколько у вас монет и на какой бирже они хранятся. Используйте псевдоним при регистрации на торговых площадках и в крипточатах. 

Используйте антивирусы и своевременно обновляйте их. 

Будьте начеку. Помните, что нет какого-то одного супернадежного способа обезопасить ваши крипто-активы и персональные данные. Только бдительность и использование нескольких средств защиты одновременно убережет вас от злоумышленников.