Socjotechnika w praktyce, czyli jak stracić ponad 100 000 zł
Ostatni boom na rynku kryptowalut spowodował wzrost zapotrzebowania na portfele sprzętowe. Do tego stopnia, że na dostawę trzeba czekać nawet miesiącami. Nic więc dziwnego, że część osób decyduje się na zakup od nieoficjalnego dystrybutora. Na świeżaków czekają jednak pułapki.
Zaczęło się niepozornie. Użytkownik moodyrocket kupił portfel Ledger Nano S na Ebay'u. Wybrał sprzedawcę, który wydał mu się zaufany: konto założone 5 lat temu, wiele sprzedanych przedmiotów, prawie 99% pozytywnych opinii. Nie było powodów do obaw, więc Ledger trafił do nowego właściciela, a ten przelał na niego swoje monety. Wszystko wydawało w porządku.
Jednak pewnego dnia Moody dokonał szokującego odkrycia - jego portfel został wyczyszczony. Wszystkie środki o łącznej wartości 25 000£ zostały przelane bez jego interakcji na nieznany mu adres. Jak to się stało? Czyżby kupił podróbkę? A może zostało do niego wgrane nieoficjalne firmware? Nic z tych rzeczy.
Sprzedawca, którego konto Ebay prawdopodobnie zostało odsprzedane, posłużył się socjotechniką i podmienił zawartość pudełka. Normalnie wraz z urządzeniem otrzymujemy specjalną kartę do zapisania seeda, który zostanie wygenerowany przy pierwszym uruchomieniu.
Karta Moody'ego wyglądała inaczej. Miała postać „zdrapki”, na której znajdował się wcześniej wygenerowany seed. Jak się okazało, urządzenie zostało skonfigurowane przez sprzedającego, a podmieniona instrukcja dla uśpienia czujności tłumaczyła, jak zmienić PIN (który normalnie również ustala się podczas pierwszego uruchomienia). Wszystko wyglądało bardzo profesjonalnie i gdybym nie wiedział, jak działają portfele sprzętowe, niewykluczone, że również dałbym się nabrać.
Ledger zaoferował pomoc prawną poszkodowanemu klientowi, lecz jeśli oszust zadbał o swoją anonimowość, szanse na odzyskanie pieniędzy są nikłe. Po raz kolejny sprawdziło się porzekadło, że najsłabszym ogniwem systemów bezpieczeństwa jest człowiek.
Pamiętajcie, że Ledger ma oficjalnych dystrybutorów, których listę znajdziecie pod adresem www.ledgerwallet.com/retailers. Natomiast dla Trezora: www.trezor.io/resellers. Jeśli jednak zdecydujecie się zamówić od kogoś innego i spotka was to samo, co bohatera tej historii, to wystarczy, że przywrócicie urządzenie do ustawień fabrycznych i ponownie skonfigurujecie portfel.
Ciekawe, ciekawe ile takich sprzętów sprzedał :)
Na reddicie znaleziono jeszcze dwie osoby, które kupiły na Ebay'u Ledgera i dostały takie karty ze zdrapką. Wprawdzie te osoby nie zdradziły pseudonimu sprzedawcy, ale pewnie to ten sam gość.
to bło do przewidzenia że tacy sprzedawcy bedą
Dziś na każdym kroku można spotkać oszustów i sztuką jest umiejętność wykrycia takowego gdyż, stosują coraz wyszukańsze techniki :/ Dlatego informacja, którą przekazałeś będzie bardzo pomocna, dzięki.
Troche mnie wystraszyles. Ja zamowilem Trezor na Amazonie, mam zamiar wyciagnac wszystko co posiadam na kilku exchanges
https://www.amazon.com/gp/product/B00R6MKDDE/ref=od_aui_detailpages00?ie=UTF8&psc=1
I to jest właśnie wpis, który niesie za sobą istotną informację.
skoro kupił to z e-baya to uzyskanie danych sprzedawcy nie powinno być ciężkie? tak mi się wydaje....
Ebay chyba nie weryfikuje prawdziwości danych?
jak zakładałem konto to dostałem list z nr do weryfikacji pocztą.
Anyway, konto prawdopodobnie zostało odsprzedane.
Świetny wpis, pozdrawiam!
Bardzo dobry wpis.Trzeba kupować u oficjalnych dystrybutorów.
Wielkie dzięki za przestrogę.