Conta de administrador do Discord da Ledger é hackeada para roubar usuários

[Forsyth Jones]

Mais um ataque envolvendo a Ledger, dessa vez mirando usuários do discord, sendo que a conta de um adm da empresa no discord foi hackeada

A mensagem dos hackers apontava para uma vulnerabilidade, encaminhando os investidores para um site externo.

Para atrair a atenção das vítimas em potencial, os golpistas afirmavam que detalhes de envio, frases de recuperação de 24 palavras e dados de transações vinculados às frases de recuperação estavam comprometidos.

“Conecte sua carteira seguindo as instruções exibidas na tela”, continuava a mensagem falsa, prometendo uma compensação aos supostos afetados. Embora a mensagem já tenha sido apagada, alguns usuários capturaram a tela.

Você que é um veterano, pode não cair no golpe, mas imagina só um recém-chegado que está tendo sua primeira exp com cripto, nem sabe o que é uma seed direito e vê uma mensagem oficial supostamente da ledger em seu canal do discord:



Dei uma lida "meio que por cima" em inglês, e parece que o golpe é um pouquinho mais sofisticado do que simplesmente pedirem pra entrar com a frase de recuperação de 12/24 palavras...


éee... recomendo fortemente que a ledger lance uma campanha anti-phishing semelhante o que a eXch fez...

Fica a dica: independente de ser no discord ou X... redes sociais é o elo mais fraco das empresas de criptomoedas, pois são mais fáceis de serem hackeadas e de fazer todo tipo de engenharia social... sempre que pedirem pra fazer algo relacionado a frase de recuperação de 12/24 palavras, passphrase, chave privada... sempre pesquise mais de uma fonte como no próprio site oficial da empresa, bitcointalk, reddit, chatgpt... jamais faça algo por impulso, medo e etc. Não confie, verifique!

[TryNinja]

éee... recomendo fortemente que a ledger lance uma campanha anti-phishing semelhante o que a eXch fez...

O negócio é que a eXch fez uma campanha para denunciar sites falsos, ou seja, vai lá no registrador do domínio e do servidor e pede a suspensão do site. É uma solução bem direta que só depende do número de denuncias e da vontade desses registradores.

O problema é que esses ataques da Ledger acontecem muito por phishing devido a listas de emails, telefones, e endereços vazadas. Então não dá muito pra combater elas a não ser com educação para ensinar os usuários que não devemos sair baixando programinha suspeito e nem sair digitando nossa seed por aí. Esse ataque do servidor do discord é a mesma coisa, como combate se não com segurança pra não ter conta e servidor hackeado? Não tem nenhum tipo de campanha de denuncias que salve.

[r_victory]

Você que é um veterano, pode não cair no golpe, mas imagina só um recém-chegado que está tendo sua primeira exp com cripto, nem sabe o que é uma seed direito e vê uma mensagem oficial supostamente da ledger em seu canal do discord:

Um veterano é um alvo menos provável de cair nesse tipo de golpe, mas, é possível. Se o cara estiver com pressa, lendo rapidamente e no piloto automático, como acontece muito, arrisca clicar e seguir o “fluxo”.

Eu dificilmente faço transações, entro em sites de corretoras, acesso carteiras, pelo celular, é muito fácil ser induzido ao erro quando se está distraído com outras coisas. Sempre uso meu computador para esse tipo de coisa, inclusive acessar o fórum, redes sociais, etc. Já tenho os sites que mais uso “favoritados”, mesmo assim checo as informações. Quando me deparo com algo assim, acesso os sites oficiais e faço uma busca na internet para ver se encontro alguma informação a respeito. Não podemos vacilar, esses “bandidos” estão cada vez mais sofisticados em engenharia social.

[alegotardo]

Dei uma lida "meio que por cima" em inglês, e parece que o golpe é um pouquinho mais sofisticado do que simplesmente pedirem pra entrar com a frase de recuperação de 12/24 palavras...

Não está detalhado o procedimento, aí só diz que após entrar no site e conectar o dispositivo será feito uma "verificação" para saber se foi exposto e aí entao eles iriam orientar em um procedimento para gerar uma nova frase de segurança (a seed nova, talvez) para receber a compensação pelo suposto ocorrido.

Tenho a certeza que logo nas primeiras telas deveria ter algo bem chamativo dizendo que você foi exposto (obviamente) e que poderá receber sei lá... uns $ 500 ou mais em BTC como compensação, tudo para chamar a atenção e persuadir o usuário à colocar em algum momento a seed.

Não sei como é o esquema de acesso do Discord, mas acho que nenhuma empresa deveria se expor em lugares que não proporcionem um nível mínimo de segurança em que seja solicitado além da senha alguma outra verificação de dois-fatores.... as chances de dar ruim são sempre grandes.

[rdluffy]

Eu cheguei até a postar num post lá da gringa: https://bitcointalk.org/index.php?topic=5542957.msg65377123#msg65377123

Onde eu falei que mais uma vez é a Ledger 
Se alguém simplesmente seguir o princípio de nunca, jamais colocar a seed em algum lugar que esteja pedindo, já vai estar seguro

O grande problema que eu acho de invadirem uma conta, podendo ser do Discord, do X ou mesmo do site oficial, é que podem colocar um link falso para baixar uma carteira falsa e aí enganar alguém
E olha que não é tão simples distinguir alguns caracteres que podem fazer confusão

Por exemplo o ledger.com podem trocar para a letra I (i) ao invés do L (ele)
É só um exemplo, geralmente as cias compram todos os domínios possíveis, mas ainda assim tem brechas

[bitmover]

Não sei como é o esquema de acesso do Discord, mas acho que nenhuma empresa deveria se expor em lugares que não proporcionem um nível mínimo de segurança em que seja solicitado além da senha alguma outra verificação de dois-fatores.... as chances de dar ruim são sempre grandes.

Lamentavelmente é a ledger dd novo

Nao sei como conseguiram ser hackeados. Nao usam 2fa? É amadorismo demais da equipe de suporte a comunidade.

Certamente nao é a mesma equipe que faz as carteiras. Mas mancha a imagem da empresa.  Triste.

E eu acho ainda a carteira mais segura  ao lado da trezor.

[Forsyth Jones]

Eu cheguei até a postar num post lá da gringa: https://bitcointalk.org/index.php?topic=5542957.msg65377123#msg65377123

Onde eu falei que mais uma vez é a Ledger 
Se alguém simplesmente seguir o princípio de nunca, jamais colocar a seed em algum lugar que esteja pedindo, já vai estar seguro

O grande problema que eu acho de invadirem uma conta, podendo ser do Discord, do X ou mesmo do site oficial, é que podem colocar um link falso para baixar uma carteira falsa e aí enganar alguém
E olha que não é tão simples distinguir alguns caracteres que podem fazer confusão

Por exemplo o ledger.com podem trocar para a letra I (i) ao invés do L (ele)
É só um exemplo, geralmente as cias compram todos os domínios possíveis, mas ainda assim tem brechas

Pois é, por isso que é importante mesmo baixando do site oficial, verificar os hashes SHA-256 e verificar as assinaturas pgg/chave pública dos desenvolvedores, porém eles (ledger) não disponibilizam isso para o Ledger Live. (não que eu saiba).

Lamentavelmente é a ledger dd novo

Nao sei como conseguiram ser hackeados. Nao usam 2fa? É amadorismo demais da equipe de suporte a comunidade.

Certamente nao é a mesma equipe que faz as carteiras. Mas mancha a imagem da empresa.  Triste.

E eu acho ainda a carteira mais segura  ao lado da trezor.

Com certeza, pelo menos não é uma notícia de hack da carteira, eu também ainda acho segura, porém está na hora da Ledger começar a correr atrás do prejuízo e recuperar um pouco a sua reputação (principalmente neste forum), por que será que eles não abrem mão do código fechado? Que eu saiba só o Ledger Live que é de código aberto e algumas partes da Ledger, certo?

O firmware é de código aberto ou é só o secure element que eles usam que é de código fechado?

[bitmover]

Com certeza, pelo menos não é uma notícia de hack da carteira, eu também ainda acho segura, porém está na hora da Ledger começar a correr atrás do prejuízo e recuperar um pouco a sua reputação (principalmente neste forum), por que será que eles não abrem mão do código fechado? Que eu saiba só o Ledger Live que é de código aberto e algumas partes da Ledger, certo?

O firmware é de código aberto ou é só o secure element que eles usam que é de código fechado?

Somente o ledger live é open source. Ledger live é totalmente opcional . Ele deve ser usado apenas para updates de firmware do dispositivo.

O firmware do ledger é parcialmente open source.

Is Ledger Open Source?

Firstly, let’s make it clear that Ledger is committed to transparency, releasing as much of its code as possible for review. But when faced with choosing to fully open-source our code versus offering uncompromising security, Ledger chooses the more secure approach.

...

Is Ledger’s Operating System (OS) Open Source?

Ledger’s operating system is partially reviewable and verifiable. The code for the commands dispatcher and the Ledger Recover entry points implementation is available for review and verification, however, Ledger’s agreement with the maker and provider of this chip, STMicroelectronics, legally prevents us from exposing the low-level code that talks to the hardware blocks of the Secure Element.

This is simply because the designers of the Secure Element have invested billions over the last decades in building an effectively secure chip. They want to keep their competitive advantage and so prevent firmware developers from disclosing parts of the code that are circuit-dependent.

Ledger’s reasoning for opting for the Secure Element is simple: it’s designed for security, drastically improving its resistance against side-channel, fault, and software attacks.

https://www.ledger.com/academy/topics/ledgersolutions/is-ledger-open-source .

[Mindyspace]

Ver a conta da Ledger sendo hackeada dá um choque de realidade. A gente confia porque é oficial, porque tem nome forte... e mesmo assim, pá, golpe na certa. Se até quem devia proteger a gente vira porta de entrada pro golpe, como é que o usuário comum se defende? Como vou saber se realmente é a conta oficial ou hackers? Complicado

[alegotardo]

Não sei como é o esquema de acesso do Discord, mas acho que nenhuma empresa deveria se expor em lugares que não proporcionem um nível mínimo de segurança em que seja solicitado além da senha alguma outra verificação de dois-fatores.... as chances de dar ruim são sempre grandes.

Lamentavelmente é a ledger dd novo

Nao sei como conseguiram ser hackeados. Nao usam 2fa? É amadorismo demais da equipe de suporte a comunidade.

Então, na verdade o meu comentário foi no sentido de que a Ledger e outras empresas notórias como essas é que não deveriam ficar abrindo contas oficiais em lugares onde não se possa ativar o 2FA para aumentar a segurança.
Mas, por ignorância minha eu achei que o Discord era um dos serviços que não tinham isso, mas agora descobri que eles tem sim... então a mancada provavelmente foi do lado da Ledger mesmo, o difícil é que a gente nunca tem a certeza do que realmente aconteceu.

Pelo menos nesse caso eles agiram rápido para tirar a mensagem fraudulenta do canal/servidor/comunidade, acho que tinha outras pessoas com perfil de "moderador" para apagar ela à tempo de causar mais estragos. Ainda assim, alguém tem notícias de algum possível valor/quantidade que eles tenham conseguido roubar?

E olha que não é tão simples distinguir alguns caracteres que podem fazer confusão

Por exemplo o ledger.com podem trocar para a letra I (i) ao invés do L (ele)
É só um exemplo, geralmente as cias compram todos os domínios possíveis, mas ainda assim tem brechas

Cara, hoje em dia tem extensões/plugin que já ajudam nesse propósito, pelo menos para os ecommerce que são mais conhecidos.
Acredito que com a evolução da IA seja possível que logo logo isso seja aperfeiçoado para encontrar de forma mais acertiva palavras trocadas, interpretando o real significado delas para ver se é parecido com um domínio legítimo, além de identificar conteúdos clonados em sites de pishing.

[TryNinja]

Ver a conta da Ledger sendo hackeada dá um choque de realidade. A gente confia porque é oficial, porque tem nome forte... e mesmo assim, pá, golpe na certa. Se até quem devia proteger a gente vira porta de entrada pro golpe, como é que o usuário comum se defende? Como vou saber se realmente é a conta oficial ou hackers? Complicado

O principal é suspeitar de tudo e só baixar software so site oficial. Tipo, o discord deles é hackeado e começam a postar: "SUAS MOEDAS ESTÃO EM PERIGO!! ATUALIZEM AGORA VIA LEDGER-OFFICIAL.NET"

Você tem que buscar outra fonte pra confirmar se esse é o site deles, qualquer pesquisa rápida no google, youtube, twitter, etc... você confirma que o site é Ledger.com, daí já confirma a suspeita.

Envolvendo crypto você nunca pode ser paranoico demais. Suspeite até das contas oficiais, exatamente por que toda hora rola uns hacks desses.

[Mindyspace]

O principal é suspeitar de tudo e só baixar software so site oficial. Tipo, o discord deles é hackeado e começam a postar: "SUAS MOEDAS ESTÃO EM PERIGO!! ATUALIZEM AGORA VIA LEDGER-OFFICIAL.NET"

Você tem que buscar outra fonte pra confirmar se esse é o site deles, qualquer pesquisa rápida no google, youtube, twitter, etc... você confirma que o site é Ledger.com, daí já confirma a suspeita.

Envolvendo crypto você nunca pode ser paranoico demais. Suspeite até das contas oficiais, exatamente por que toda hora rola uns hacks desses.

Sim, total! Esses golpes aparecem do nada e muita gente cai fácil. Sempre que vejo link estranho já acende o alerta. Melhor desconfiar de tudo mesmo, ainda mais com crypto. Espero muito mesmo não cair num golpe desses

[joker_josue]

No final, é a Ledger a pagar o preço de ter se tornado o maior fabricante de hardware wallet.

Se eles não investirem forte na segurança nas outras áreas, além do hardware, vão "ficar" presos a esse ciclo de esquemas surgindo.

A campanha que tem de se fazer é "nunca dê a sua seed a ninguém, nem a ti mesmo". 

[Forsyth Jones]

Um novo malware sofisticado altera o ledger live original por um clone que induz as vítimas a inserir as palavras mnemônicas (seedphrase) da carteira dos usuários, além disso, ele varre o computador da vítima roubando quaisquer dados que possam estar salvos no computador infectado - “Anti-Ledger” malware: The battle for Ledger Live seed phrases.

Por exemplo, se você baixou um arquivo comprometido com este malware e tiver um Ledger Live legítimo inslatado, ele altera o binário original pelo app clonado e alega atividades suspeitas na carteira, induzindo a vítima a inserir as palavras de recuperação.

[TryNinja]

Um novo malware sofisticado altera o ledger live original por um clone que induz as vítimas a inserir as palavras mnemônicas (seedphrase) da carteira dos usuários, além disso, ele varre o computador da vítima roubando quaisquer dados que possam estar salvos no computador infectado - “Anti-Ledger” malware: The battle for Ledger Live seed phrases.

Por exemplo, se você baixou um arquivo comprometido com este malware e tiver um Ledger Live legítimo inslatado, ele altera o binário original pelo app clonado e alega atividades suspeitas na carteira, induzindo a vítima a inserir as palavras de recuperação.

Mais uma vez algo facilmente resolvível ao não digitar a sua seed em qualquer dispositivo que não seja a própria hardware wallet. Os caras da ledger e trezor deviam investir em uma campanha de conscientização em massa para evitar. isso.

NÃO É DIRETO NO DISPOSITIVO DA HARDWARE WALLET? Não digite nem se for o próprio papa te entregando um tablet pra digitar!

[joker_josue]

Mais uma vez algo facilmente resolvível ao não digitar a sua seed em qualquer dispositivo que não seja a própria hardware wallet. Os caras da ledger e trezor deviam investir em uma campanha de conscientização em massa para evitar. isso.

Durante décadas já vi inúmeras campanhas para as pessoas terem atenção aos links e ficheiros que recebem nos emails. Resultado? Zero ou próximo de zero, as pessoas continua a cometer os mesmos erros. Até aquelas que já tiveram problemas no passado, continua agir da mesma forma.

Enquanto a educação não começar na escola, mas algo como deve de ser, as coisas não mudam.

Alguns podem dizer: "as novas gerações já percebem mais de informática, estarão mais seguras". Errado. As novas gerações, apesar de haver mais informação, sabem menos de informática do que se imagina. O que eles sabem é navegar pelas aplicações, de resto... esquece. Porque? Falta na escola um ensino adequado. Não estou a falar em saber programação, estou a falar em conceitos básicos de segurança, utilização e navegação.