התראה: ארנקי חומרה ששונו זוהו בטבע

בשבוע שעבר מישהו בתת-העריכה של לדג'ר דיווח שקיבל חבילה לא רצויה עם לדג'ר ננו X יחד עם מכתב של "המנכ"ל" של לדג'ר. ההונאה מנסה להערים על אנשים להעביר את אחזקות הקריפטו שלהם למכשיר החדש והמתוקן. מעבדות האבטחה של קראקן החליטו לבחון את הונאת הדיוג המשוערת הזו.

בסרטון שלמעלה צוות האבטחה שלנו מדגים כיצד הונאה זו אמורה הייתה להתנהל וכמו כן התקפות דיוג קודמות של Ledger, יסביר כיצד הכי טוב למנוע התקפות אלה מלהתרחש לך. 

כהערה חשובה, אין פגמים בארנק Ledger או בקושחתו. מטרת הסרטון והבלוג היא פשוט להגביר את המודעות להתקפת פישינג זו, מכיוון שזו לרוב הדרך היחידה הטובה ביותר למנוע מבעלי קריפטו ליפול קורבן לניסיונות אלה. 

המכתב והמכשיר

החבילה נמסרה במה שנראה כעטיפת כיווצים רשמית של לדג'ר. אך לאחר פתיחת החבילה, הנמען הבחין בדגל אדום מיידי. המכתב, שהיה כביכול ממנכ"ל לדג'ר, פסקל גוטייה, היה באנגלית כתובה בצורה גרועה והיו בו טעויות לאורך כל הדרך; כמעט ולא עולה בקנה אחד עם התקשורת שלקוחות מקבלים בדרך כלל מחברות. 

אחרי שכבר שמענו על ספר חשבונות נופל קורבן להפרת נתונים בעבר, המקבל חש חשד יותר ויותר. הם החליטו לפרק את ספר החשבונות ופרסמו תמונות של החלק הפנימי ברדיט. הקהילה גילתה במהירות שמקל USB זעיר הושתל בהתקן בסתר. לאחר חיבורו למחשב, המכשיר יופיע כמקל USB, המכיל יישום זדוני המנסה לדקור את זרע המשתמש.

אתה יכול גם לבדוק את כתיבת ההתקפה המלאה של Bleepingcomputer כאן.

בונה מחדש את ההתקפה   

מעבדות האבטחה של קראקן בנו מחדש את ההתקפה כדי להדגים כיצד פועלת ההתקפה הדיוגית המתוחכמת הזו בעולם האמיתי, ולכן הלקוחות מוכנים למקרה שמישהו ינסה איתם זאת.

מעבדות האבטחה של קראקן הזמינו ארנק Ledger Nano X באופן מקוון. לאחר שקיבלנו, השתמשנו במקל USB זעיר פשוט כשתל, שהופק ממתנה לקידום מכירות. לאחר הסרת ריפוד, מקל ה- USB התאים באופן מושלם מתחת לתצוגת הארנק.

בשלב הבא, בדיוק כמו התוקף המקורי, השתמשנו בחוט מגנט כדי לחבר את אנשי הקשר של מקל ה- USB לקווי הנתונים של ה- USB על לוח המעגלים המודפסים (PCB) של הארנק המקורי, המחבר את כל רכיבי החשמל של המכשיר יחד.

כדי למנוע התנגשויות בין מקל ה- USB לבין מעבד Ledger היינו צריכים לבצע שינויים נוספים. המומחה לאבטחת חומרה מייק גרובר מודגש שהתוקפים הסירו מתנד - רכיב שבעצם מאפשר למכשיר לשמור על זמן - כדי למנוע מהמעבד להפריע למקל ה- USB. בבדיקות שערכנו נמצא כי הסרת אותו רכיב תשבית את המכשיר ותהפוך את ההתקפה לעין בולטת יותר. מעבדות האבטחה של קראקן ביצעו שינוי מעט שונה כך שהארנק יעבוד כרגיל ולכן יעלה פחות חשד. זה כלל מתן חיבורים קבועים לארנק באמצעות Bluetooth. בנוסף גילינו שהתוקפים ביצעו שינויים נוספים בחומרה בכדי לגרום לחיבור ה- USB לעבוד.

מבחוץ, כמעט בלתי אפשרי להבחין בין ארנק לדג'ר אמיתי לארנק מאחור. מקל ה- USB מוסתר מתחת לתצוגה, והחוטים הזעירים מחברים אותו ל- PCB Ledger. כשהוא מחובר לחשמל, הארנק יאתחל, יטעין את הסוללה שלו וייראה כמו ספר ספרים ללא שינוי לחלוטין.

כאשר המכשיר מחובר למחשב, הוא יופיע כמקל USB המכיל רק יישום "Ledger Live" מזויף שינסה להונות את הקורבן בכדי להזין את ביטוי הזרע שלהם, מה שיאפשר לתוקפים לנקז כספים מהארנק שלהם. .

תזכורת

בעת שימוש בארנק חומרה, הקפד תמיד להזמין ישירות מהספק ולבדוק שלא טופלו באריזה, כולל עטיפת הצלופן. 

אם יש לך ספקות, פנה ישירות לספק הארנק או שוחח עם מישהו דרך פורטל התמיכה הרשמי.

הישאר מעודכן בהתראות האבטחה האחרונות ובשיטות העבודה המומלצות עם מעבדות אבטחה של קרקן.

מקור: https://blog.kraken.com/post/9659/alert-modified-hardware-wallets-spotted-in-the-wild/