As consequências da grande violação de dados de Ledger continuam a ser sentidas quase um ano depois. Um colaborador do fórum r/Ledgerwallet no Reddit, escrevendo sob a tag u/jjrand e se identificando como um dos afetados pela violação, postou imagens do que parece ser uma carteira Ledger Nano X falsa recebida pelo correio.
Envolvido em uma embalagem aparentemente autêntica, o dispositivo, no entanto, incluía vários sinais reveladores que despertaram a suspeita do colaborador. Mais chocantemente, o pacote veio junto com uma carta mal escrita alegando ter sido assinada pelo CEO da Ledger, Pascal Gauthier, dizendo ao seu destinatário:
“Por motivos de segurança, enviamos a você um novo dispositivo, você deve mudar para o novo dispositivo para ficar em segurança. Há um manual dentro de sua nova caixa que você pode ler para aprender como configurar seu novo dispositivo. Por este motivo, mudamos nossa estrutura. Agora garantimos que esse tipo de violação nunca mais acontecerá.”
(Caixa contendo dispositivo Ledger supostamente falso, recebido pelo usuário reddit u/jjrand. Fonte: Reddit)
Carta falsa supostamente escrita e assinada pelo CEO da Ledger, Pascal Gauthier. Fonte: (Reddit)
Além da carta, u/jjrand também recebeu um manual falso, contendo instruções sobre como usar o dispositivo e, principalmente, solicitando que o usuário insira sua frase de recuperação do livro razão particular para conectar sua carteira de criptomoeda ao novo hardware. Com base em outras imagens que mostram a placa de circuito do dispositivo carregada para o Reddit, o pesquisador de segurança Mike Grover disse à BleepingComputer que o dispositivo falso foi adulterado:
“Esta parece ser uma simples unidade flash presa ao Ledger com o propósito de ser para algum tipo de entrega de malware. Todos os componentes estão do outro lado, então não posso confirmar se é APENAS um dispositivo de armazenamento, mas […] a julgar pelo trabalho de solda novato, é provavelmente apenas um mini flash drive fora da prateleira removido de seu invólucro.”
Grover destacou uma seção da parte traseira do dispositivo, mostrando o implante do flash drive e observando que “aqueles 4 fios carregam as mesmas conexões para a porta USB do Ledger”.
Parte traseira do dispositivo Ledger falso. Fonte: Reddit, com destaque adicionado por Mike Grover
(Parte de trás do dispositivo Ledger autêntico. Fonte: BleepingComputer)
Com base na análise de Grover e BleepingComputer, parece que o roubo é projetado para interceptar a frase de recuperação inserida pelo usuário a fim de redirecionar os detalhes para um dispositivo controlado pelos golpistas, que eles podem então usar para roubar os acervos de criptomoeda associados.
Em uma postagem online, mas não citada por u/jjrand, Ledger já havia alertado os clientes contra a carta e o dispositivo falsos, afirmando que:
“O guia do usuário falso na caixa do Nano pede ao usuário para conectar o dispositivo a um computador. Para inicializar o dispositivo, o usuário é então solicitado a inserir suas 24 palavras em um aplicativo Ledger Live falso. Isto é uma fraude. Não conecte o dispositivo ao seu computador e nunca compartilhe suas 24 palavras. Ledger nunca pedirá que você compartilhe sua frase de recuperação.”
O aviso é, portanto, incluído como parte da lista online de campanhas de phishing de Ledger das quais a empresa tem conhecimento. Ledger disse que está tentando alertar seus clientes – especialmente aqueles cujos detalhes vazados podem deixá-los mais suscetíveis a cair em artifícios semelhantes – sobre os riscos que continuam a enfrentar. Em um e-mail, um representante da empresa disse que:
“Comunicamos várias vezes à nossa base de clientes para explicar o que aconteceu com o vazamento de dados em 2020 e como eles poderiam se proteger via e-mail, comunicações de mídia social e participamos regularmente de AMAs, podcasts e conferências para fornecer todas as ferramentas para evitar ficar preso em fraudes e tentativas de phishing.”
Outras consequências do vazamento de dados incluem os usuários do Ledger recebendo e-mails de extorsionários ameaçando violência física ou outros ataques criminosos. A violação de dados original ocorreu em junho e julho de 2020 e incluiu 1.075.382 endereços de e-mail de usuários inscritos no boletim informativo Ledger. Notavelmente, também envolveu o vazamento de informações pessoais (incluindo endereços residenciais) associadas a 272.853 pedidos de carteira de hardware.
