Bài viết này đã được cập nhật với bình luận từ người phát ngôn của Ledger.
Một nhà nghiên cứu bảo mật người Brazil đã phát hiện ra một hoạt động thiết bị Ledger giả mạo tinh vi sau khi tìm thấy phần cứng đã bị sửa đổi được thiết kế để đánh cắp tiền điện tử từ những người dùng không nghi ngờ.
Nhà nghiên cứu bảo mật, được biết đến trên mạng với tên “Past_Computer2901,” đã chia sẻ phát hiện trên Reddit sau khi mua một thiết bị trông giống Ledger Nano S Plus tiêu chuẩn từ một thị trường Trung Quốc.
Mặc dù bao bì và mức giá khớp với tiêu chuẩn bán lẻ chính thức, thiết bị này đã không vượt qua được “Kiểm tra chính hãng” khi kết nối với ứng dụng Ledger Live chính hãng trên máy tính để bàn.
Dấu hiệu đáng ngờ này đã dẫn đến việc tháo dỡ vật lý thiết bị, cho thấy mạch điện bên trong đã bị thay đổi để bao gồm ăng-ten WiFi và Bluetooth—những tính năng hoàn toàn không có trên mẫu chính hãng.
Những kẻ lừa đảo đang sử dụng các thiết bị bị can thiệp này để khai thác những người mua lần đầu thông qua một quy trình thiết lập lừa đảo.
Một mã QR đi kèm trong bao bì hướng người dùng đến một phiên bản ứng dụng Ledger Live giả mạo, được lập trình để bỏ qua các cảnh báo bảo mật và đưa ra xác minh giả mạo về tính xác thực của phần cứng.
Khi người dùng làm theo các hướng dẫn để tạo hoặc nhập cụm từ hạt giống (seed phrase), phần sụn bị xâm nhập sẽ thu thập dữ liệu, cho phép kẻ tấn công rút tiền từ ví bất cứ lúc nào.
“Điều này không nhằm mục đích gây hoảng loạn, mà là một lời cảnh báo nghiêm túc — tôi thực sự vẫn còn khá choáng váng trước quy mô khổng lồ của hoạt động này,” nhà nghiên cứu nhận xét.
Phân tích nội bộ thiết bị cho thấy những kẻ lừa đảo đã cố gắng hết sức để che giấu hành vi gian lận, bao gồm việc cạo bỏ các dấu hiệu chip gốc.
Thiết bị Ledger giả mạo. Nguồn: Reddit.
Mặc dù thiết bị ban đầu tự nhận là Nano S Plus 7704 trong giai đoạn khởi động, trình tự cuối cùng đã tiết lộ nhà sản xuất là Espressif Systems, một công ty bán dẫn có trụ sở tại Thượng Hải.
Những sửa đổi này về cơ bản đã phá vỡ nguyên tắc bảo mật của các sản phẩm Ledger, vốn được xây dựng để giữ khóa riêng tư trong một môi trường hoàn toàn ngoại tuyến.
“Khi mua hàng từ một thị trường, Ledger khuyến khích mạnh mẽ người dùng xác minh danh tính của người bán. Người dùng nên đảm bảo họ chỉ tải xuống các ứng dụng Ledger Wallet chính thức trên máy tính để bàn và di động. Tình huống này liên quan đến phần cứng giả mạo, kết hợp với một quy trình ứng dụng đồng hành giả mạo được thiết kế để mô phỏng quá trình thiết lập ban đầu, được phân phối qua các kênh không chính thức,” người phát ngôn của Ledger nói với crypto.news.
“Ledger sẽ không bao giờ hỏi người dùng 24 từ của họ. Nếu bất kỳ ai tự xưng là Ledger, hoặc bất kỳ ứng dụng nào tự nhận là ứng dụng Ledger, yêu cầu 24 từ của bạn, bạn nên ngay lập tức cho rằng đó là một vụ lừa đảo,” họ nói thêm.
Phát hiện này diễn ra sau một sự cố riêng biệt vào đầu tháng này, trong đó một ứng dụng lừa đảo đã vượt qua bảo mật của Apple App Store thông qua một chiến thuật lừa đảo 'câu khách rồi tráo đổi'. Phần mềm độc hại đã lừa thành công hơn 50 người tiết lộ cụm từ khôi phục của họ, dẫn đến việc đánh cắp 9,5 triệu đô la trước khi nền tảng gỡ bỏ danh sách. Ứng dụng này sau đó đã bị gỡ bỏ vì chức năng lừa đảo 'câu khách rồi tráo đổi' độc hại, theo Apple.
“Hãy giữ an toàn. Chỉ tải xuống Ledger Live từ ledger.com. Chỉ mua phần cứng từ ledger.com. Nếu thiết bị của bạn không vượt qua được Kiểm tra chính hãng — hãy ngừng sử dụng ngay lập tức,” nhà nghiên cứu cảnh báo.
