Ledger 硬體錢包 用戶再度成為詐騙者鎖定對象——這次是以異常且令人警戒的實體郵件方式發動攻擊。最新的釣魚行動假冒 Ledger 官方,試圖以安全更新為名,誘使收件人交出 24 字恢復短語。
此次攻擊以實體信件進行,並附上詳細的個人資訊,顯示很可能與 Ledger 惡名昭彰的 2020 年資料外洩事件有關,當時數十萬客戶資料遭到外洩,再次凸顯加密貨幣領域面臨的資安風險。
第一則有關此詐騙的報導來自加密投資者 Jacob Canfield,他曾在 X(前稱 Twitter)發佈詐騙信的照片。信件完美仿造 Ledger 官方品牌形象,包含看似正當的公司寄件地址、專屬參考編號,並要求掃描 QR code。
Canfield 在貼文表示:「細節之完整令人驚訝,從紙張質感到專業排版,乍看之下就像真的,直到你發現內容其實是在索取敏感資訊。」
信中虛假稱用戶需進行「強制驗證程序」以確保資金正常存取,如 30 天內未配合將限制帳戶權限。QR code 則會引導被害人進入偽裝成官方網站的頁面,要求輸入 24 字恢復短語,這是錢包與資產的主密鑰。
Ledger 隨即在社群媒體發布回應,再次強調錢包資安重要原則:「Ledger 永遠不會要求您的 24 字恢復短語。若有人索取,就是詐騙。」公司也已在官方安全建議頁新增詐騙信範例提醒用戶。
榨取信任的多層次詐騙
釣魚攻擊的高危險性,來自多重提升可信度的精密手法。資安研究人員指出多項詐騙特點:
- 實體媒介:不同於常見數位詐騙手法(如可疑網址、拼字錯誤),實體郵件本身具備一定信任感。
- 個人化內容:根據用戶回報,信件常指出收件人的全名、住址,甚至擁有的 Ledger 型號。
- 緊迫感操縱:信內運用恐嚇手法,稱若不配合將永久失去資產存取權限。
- 專業包裝:高質感印刷、官方信頭,有些甚至加貼像真的 Ledger 防偽標籤。
- 技術縝密:QR code 導向偽網站,具備 SSL 憑證且網址幾可亂真。
資安顧問 Marcus Hutchins(曾阻止 WannaCry 勒索病毒)評論此行動:「這代表釣魚手法重大升級,詐騙集團投入郵寄成本,說明他們對攻擊成效有高度信心,也反映出加密領域詐騙的進化。」
2020 年 Ledger 資料外洩
雖然 Ledger 官方未證實兩事件直接相關,但資安與加密社群普遍認為本次釣魚案大量使用了 2020 年 7 月 Ledger 資料外洩時竊取的個資。當時駭客利用過時 API 金鑰入侵官方電商與行銷資料庫。
此次資料外洩規模龐大:
- 約 100 萬電子信箱遭洩
- 約 27.2 萬客戶資訊外流,包括:
- 全名
- 電話號碼
- 實體郵寄地址
- 訂單與購買紀錄
儘管此次外洩未直接危及種子短語、私鑰或資產,卻為後續社交工程詐騙埋下變數。數年來受害者不斷回報遭遇各種形式詐騙攻擊:
- 假冒 Ledger 客服的釣魚信
- 假冒帳號異常的簡訊通知
- 收到偽造 Ledger 裝置郵寄更換
- 恐嚇勒索訊息
- 甚至這次更加複雜的詐騙郵寄信件
被洩個資至今仍屢次在暗網流通,依完整度價格不等。區塊鏈分析機構 Chainalysis 指出,自 2020 年起,相關資料已造成至少 1,150 萬美元的加密資產遭盜。
數據外洩的連鎖效應
資安研究員、Have I Been Pwned 創辦人 Troy Hunt,說明 Ledger 資料外洩多年後依然危險的原因。
「資料外洩的影響會長期延燒,並非只限於事發當下,」Hunt 表示。「一旦個資進入犯罪市場,幾乎沒有時效問題,反而可能還會結合其它新一波外洩資料,使其不斷增值、危險性遞增。」
這種「資料外洩疊加」使 Ledger 資料對攻擊者極具價值。與其他金融、身份外洩資訊結合後,便能描繪出最優質的高價值加密持有人受害者輪廓。
2020 年外洩資料至今依然猖獗。2022 年 12 月,新的整理外洩檔案出現在駭客論壇。2023 年 3 月,研究人員發現更詳盡的新資料,將 Ledger 用戶資料與其他外洩資訊結合成完整個資檔案。
加密時代的釣魚手法演變
這次事件代表針對加密貨幣用戶的釣魚詐騙手法正持續進化。過去常見的電子郵件、網站仿冒,如今還增加了郵件等多重心理操縱層面——利用用戶對官方文件、傳統實體郵件的信任感。
資安專家指出,實體信件觸發與數位溝通完全不同的信任評估機制。大多數人會對電子郵件有所警惕,卻更信任實體郵件,特別是那些外觀正式、內容具體涉及個人資料者。
這類信件對收件者的心理影響很大。多位受害者回報收到郵件後感受焦慮、緊迫,甚至無法做決定。
「我知道有點怪,但信裡有我的地址、姓名,甚至還寫出我購買 Ledger 的時間,」一位幾乎中招的用戶分享,「我真的一度猶豫是不是要照信裡指示做,因為很怕失去資產。」
產業意義與資安建議
這波攻擊再次證明,加密貨幣領域資安教育極為重要。即便 Ledger 等廠商持續強化內部防護,但資料外洩的影響會長期存在,用戶必須長期保持警覺。
不論是 Ledger、Trezor、SafePal 或其他硬體錢包用戶,都應遵守以下資安原則:
- 種子短語神聖不可外洩:無論任何情況都不應將恢復短語告知他人,官方不會從任何管道索取。
- 多重查證:遇到疑似帳戶異常訊息,務必透過多個官方主管道查證。
- 零信任態度:對任何主動聯絡、涉及交易或硬體資訊的訊息提高懷疑。
- 實體地址保護:購買產品時盡量使用郵政信箱或替代收件地址,避免個人住址曝光。
- 考慮隱私購買:部分商家支援加密貨幣付款,可減少個資綁定風險。
Ledger 針對這波攻擊已展開加強用戶教育行動,提供免費資安線上課程,同時在應用程式中加入更明顯的恢復短語保護提醒。
產業回應
整體加密產業已察覺這波釣魚手法的演變。Crypto Security Alliance(主要錢包廠聯盟)已宣布,將共同制定標準化溝通協議,協助用戶辨識官方與詐騙訊息。
「產業需要建立明確標準表明哪些資料官方絕不會索取,」資安專家與《Cryptoasset Inheritance Planning》作者 Pamela Morgan 表示,「產業必須跨越目前碎片化的用戶教育方式。」
隨著加密貨幣愈趨普及,針對性的詐騙必定更加精密化,從最初的電子郵件釣魚逐步演變至極具計畫性的郵寄攻擊。 multi-channel social engineering campaigns demonstrates that security in this space requires ongoing vigilance and education.
目前,加密貨幣社群必須奉行一個已保護無數用戶免於盜竊的信念:如果任何人或任何東西要求你提供種子詞——無論看起來多麼正當——那一定是詐騙。