นักต้มตุ๋นใช้อีเมลละเมิดข้อมูลบัญชีแยกประเภทปลอมเพื่อขโมย crypto

มีรายงานว่ากลโกงดังกล่าวเริ่มต้นเมื่อวันที่ 15 ธันวาคม 2024 และใช้โครงสร้างพื้นฐานของ Amazon AWS เพื่อให้ปรากฏว่าถูกต้องตามกฎหมาย ความพยายามฟิชชิ่งเหล่านี้ได้รับการออกแบบมาเพื่อขโมยวลีกู้คืน 24 คำของผู้ใช้ ซึ่งจะทำให้ผู้โจมตีสามารถเข้าถึงเงินดิจิตอลของเหยื่อได้อย่างสมบูรณ์

แคมเปญนี้ดูเหมือนจะมีประสิทธิภาพโดยเฉพาะอย่างยิ่งเนื่องจากใช้ประโยชน์จากข้อกังวลที่แท้จริงอันเนื่องมาจากการละเมิดข้อมูลครั้งก่อนของ Ledger ในปี 2020 ซึ่งเป็นตอนที่ข้อมูลลูกค้าถูกเปิดเผยจริง

แคมเปญฟิชชิ่ง Crypto ปรากฏอย่างเป็นทางการ

อีเมลหลอกลวงมีรูปแบบที่ระมัดระวังซึ่งออกแบบมาเพื่อให้ดูเหมือนเป็นทางการ พวกเขามาพร้อมกับหัวเรื่อง “การแจ้งเตือนความปลอดภัย: การละเมิดข้อมูลอาจทำให้วลีการกู้คืนของคุณ” และดูเหมือนว่าจะมาจาก “Ledger support@ledger.com” อย่างไรก็ตาม ผู้ตรวจสอบพบว่านักต้มตุ๋นใช้แพลตฟอร์มการตลาดผ่านอีเมล SendGrid เพื่อเผยแพร่ข้อความเหล่านี้

เมื่อผู้ใช้คลิกปุ่ม “ยืนยันวลีการกู้คืนของฉัน” ในอีเมลเหล่านี้ พวกเขาจะถูกเปลี่ยนเส้นทางผ่านหลายขั้นตอน การเปลี่ยนเส้นทางครั้งแรกนำไปสู่เว็บไซต์ Amazon AWS ที่ URL ที่น่าสงสัย: product-ledg.s3.us-west-1.amazonaws.com จากนั้นผู้ใช้จะถูกส่งไปยังไซต์ฟิชชิ่ง

เว็บไซต์ฟิชชิ่งแสดงความสามารถทางเทคนิคที่ชัดเจน รวมถึงระบบการตรวจสอบที่จะตรวจสอบแต่ละคำที่ป้อนกับคำที่ถูกต้อง 2,048 คำที่ใช้ในวลีการกู้คืนสกุลเงินดิจิทัล การตรวจสอบแบบเรียลไทม์นี้ทำให้ไซต์ดูเหมือนถูกต้องตามกฎหมายต่อผู้ที่ตกเป็นเหยื่อ

ผู้โจมตียังเพิ่มองค์ประกอบที่หลอกลวงอีก: ไซต์มักจะอ้างว่าวลีที่ป้อนนั้นไม่ถูกต้องเพื่อสนับสนุนให้พยายามหลายครั้ง และอาจตรวจสอบอีกครั้งว่าพวกเขาได้รับคำกู้คืนที่ถูกต้อง

เวอร์ชันเพิ่มเติมของการหลอกลวงนี้ได้รับการ dent แล้วเช่นกัน อีเมลบางฉบับอ้างว่าเป็นการแจ้งเตือนการอัปเดตเฟิร์มแวร์ แต่มีเป้าหมายเดียวกันในการขโมยวลีกู้คืนของผู้ใช้เพื่อเข้าถึงกระเป๋าเงินดิจิทัลของพวกเขา แต่ละคำที่ป้อนจะถูกส่งไปยังเซิร์ฟเวอร์ของผู้โจมตีทันที