Ledger 硬件錢包 用戶再次成為騙徒目標 —— 這次採用極為罕見且令人不安的方式:實體郵件。最新的假冒 Ledger 釣魚行動,試圖以安全更新作幌子,騙取收件人的 24 字恢復助記詞。
這次攻擊以實體信件作手法,並加入詳細個人資料,顯示事件或與 Ledger 於 2020 年發生的大規模資料外洩有關,當年有數十萬客戶資料被盜,突顯加密幣領域資料外洩的持續危機。
首批有關該詐騙的報告來自加密投資者 Jacob Canfield,他在 X(前稱 Twitter)分享了受騙信件照片。信內不但完全仿製 Ledger 官方品牌設計,還有看似正規的公司回郵地址、獨立參考編號及掃描 QR Code 的指示。
Canfield 在帖文中寫道:「細節之精細令人震驚,從紙張質素到專業排版,一切看起來都極為真實,直到你發現它其實要你提供的是甚麼。」
信件誤稱用戶必須進行「強制驗證程序」以持續存取資金,如 30 日內未按指示操作將被限制取用。QR Code 連到一個幾可亂真的偽 Ledger 網站,要求輸入 24 字恢復助記詞 —— 即取得錢包和資產的主鑰。
Ledger 公司在社交媒體迅速回應,重申錢包安全的關鍵原則:「Ledger 絕不會要求客戶提供 24 字恢復助記詞,如有人要求,就是詐騙。」同時更新了官方安全警告網頁,展示該詐騙信件範本,提醒用戶小心。
層層設計的高級釣魚詐騙
這次釣魚行動之所以格外危險,正因各方面都用上營造真確感的多重手段。研究此騙局的資安專家指出重點特徵包括:
-
實體信件:相較於常見的數碼溝通(往往包含可疑網址或錯字),實體郵件本身較易取得收信人信任。
-
個人化:受害者發現信件常包含全名、地址,甚至提及其所持的 Ledger 型號。
-
製造緊迫感:信件以恐嚇手法威脅,如不配合則永遠失去資產使用權。
-
專業製作:信件物料印刷精美,官方信紙設計,有些甚至附有看似真的 Ledger 全息標籤。
-
技術層面:QR Code 指向經心包裝、連 SSL 憑證、網址極似官方的釣魚網站。
資安顧問 Marcus Hutchins(曾阻止 WannaCry 勒索軟件爆發)評價:「這標誌釣魚詐騙手法的明顯升級,投資實體信件說明騙徒覺得有價值,亦展現其針對加密用戶詐騙手法的持續進化。」
2020 年 Ledger 資料外洩
雖然 Ledger 官方未確認今次詐騙與資料外洩直接相關,資安圈及加密社群普遍相信騙徒正利用 2020 年 7 月被盜的資訊。當時有駭客利用已過期的 API 金鑰入侵公司電商及行銷資料庫。
外洩規模重大:
- 約 1 百萬個電郵地址被盜
- 約 27.2 萬名客戶個人資料外洩,包括:
- 全名
- 電話
- 寄送地址
- 產品訂單與購買歷史
雖然未有種子詞、私鑰或資產本身被盜,外洩資料卻造就了長期的社交工程風險。事發後數年,被針對者報告遭遇多種騙術:
- 假冒 Ledger 客服的釣魚電郵
- SMS 詐騙,聲稱帳戶被盜
- 出現寄到家中的假 Ledger 換貨裝置
- 威脅勒索信
- 如今更到精心捏造的實體郵件
資料在暗網多次兜售,按個人資訊完整度報價。根據區塊鏈分析公司 Chainalysis,自 2020 年起,該資料已被證實涉及至少 1,150 萬美元加密資產損失的釣魚詐騙。
資料外洩的「長尾效應」
資安研究員、Have I Been Pwned 平台創辦人 Troy Hunt 解釋 為什麼 Ledger 資料外洩數年仍帶來持續威脅。
Hunt 指出:「資料外洩的影響會層層擴大,遠超事件即時影響。一旦個資進入犯罪圈子,不但不會『過期』,更常常跟其他外洩資料混合,被騙徒整合利用。」
這種名為「外洩組合」的現象,令 Ledger 資料特別值錢。與其他金融/身份外洩資料併用,騙徒就能制定針對加密資產持有者的詳細目標群組。
2020 年外洩的資料仍然存在影響:2022 年 12 月又有混合集資料包在黑客論壇流傳;至 2023 年 3 月,研究人員發現已與其他外洩資料合併成新的受害對象清單。
加密釣魚詐騙的演化
這次事件標誌詐騙針對加密幣用戶手法的持續進步。雖然電郵和網站仿冒早已習以為常,實體郵件則加強心理操控,利用用戶對官方書信的信任。
資安專家指出,實體信件誘發的信任評估與數碼通訊截然不同。多人收到這些信件後,均表示產生焦慮、緊張、無法決斷感。
有受害者分享:「我當時覺得可疑,但信內有我全名、地址,甚至提及我何時購買 Ledger。那一刻,我真的很擔心資產會被鎖,差點就按信內指示操作。」
行業啟示與建議
最新這次攻擊突顯——加密幣用戶需要長期投入資安教育。即使 Ledger 等企業已加強營運安全措施,但資料一旦外洩,用戶需隨時提高警覺,防範騙局。
不論是 Ledger、Trezor、SafePal 或其他硬件錢包用戶,務必遵守以下建議:
- 助記詞絕不外洩:任何情況下都不可交出恢復詞,公司絕不會以任何方式要求提供。
- 多方查證:如收到可疑通知,須經多個官方支援渠道查核後才採取行動。
- 零信任原則:所有主動聯絡均要高度懷疑,尤其提及具體設備、交易資訊者。
- 實體地址安全:購買加密設備時,盡量使用郵箱或替代寄件地址,減少外洩風險。
- 考慮匿名購買選項:某些零售商可接受加密幣付款,有助減低個資流出。
Ledger 公司已展開加強教育行動,增設免費資安講座,並於應用程式內新增顯眼助記詞保安提示。
行業回應
整個加密行業亦高度關注這類進化釣魚技術。加密安全聯盟(由主要錢包供應商組成)宣布將推行標準化通訊協議,協助用戶分辨官方及詐騙訊息。
加密保安專家、《Cryptoasset Inheritance Planning》作者 Pamela Morgan 表示:「我們需明確界定業界永不會向用戶要求甚麼資訊,並推動統一的用戶教育。」
隨著加密資產流行,針對用戶的攻擊手法只會愈來愈複雜,由最初的電郵偽造演變至層層包裝的釣魚詐騙——用戶必須隨時提高警覺。 多渠道的社交工程攻擊活動顯示,這個領域的安全需要持續保持警覺同埋不斷教育。
而家,加密貨幣社群一定要記住一個保護咗無數用家免於被盜的重要原則:如果有人或者任何嘢向你索取你的助記詞 —— 無論睇落幾咁可信 —— 都一定係詐騙。