Se siete appassionati di criptovalute e come wallet hardware utilizzate dispositivi Ledger, fate molta attenzione. Ma fate attenzione anche se non siete direttamente coinvolti, perché le truffe sono dietro l'angolo, specie nel mondo digitale, ed è bene sapere come funzionano certi meccanismi per imparare a difendersi. Lo scorso marzo Ledger è stata colpita da un pesante data breach che ha sfruttato una falla di Shopify e che, a quanto pare, sta iniziando a fruttare agli hacker proprio ora.

I truffatori hanno infatti iniziato ad inviare alle vittime dell'attacco - di cui ora conoscono nominativi e informazioni personali dopo che queste sono state pubblicate su RaidForum - un nuovo dispositivo Ledger. iI top gamma Nano X viene recapitato all'interno di una busta apparentemente originale, con tanto di lettera firmata dal CEO Pascal Gauthier in cui - in un inglese non proprio da livello C2 - l'azienda si scusa per le conseguenze dell'attacco regalando il suo miglior wallet hardware in sostituzione di quello precedente (hackerato).

Diversi utenti hanno condiviso le immagini su Reddit, evidenziando come in realtà questo non sia il lieto fine di una brutta avventura, quanto piuttosto il raffinato tentativo di truffare gli utenti con un dispositivo modificato. In altre parole, il prodotto non è stato affatto spedito da Ledger - sul sito ufficiale c'è un messaggio di avviso che riportiamo a seguire - quanto piuttosto dai soggetti che sono venuti in possesso dei dati personali delle vittime dell'attacco hacker dello scorso marzo.

Tentativi di phishing stanno prendendo di mira i clienti Ledger. Gli attacchi di phishing sono purtroppo una minaccia fin troppo comune quando si utilizza internet. Questa pagina ha lo scopo di fare un elenco di alcuni esempi di attacchi di phishing che abbiamo ricevuto su Ledger nei confronti dei nostri clienti. Se hai dei dubbi sull'autenticità di una comunicazione di Ledger, puoi fare riferimento all'elenco riportato sotto che evidenzia alcune recenti campagne di phishing.

Il pacco include una falsa lettera ed un wallet hardware manomesso. É imballato come se la scatola non fosse mai stata aperta. [...] Il Ledger Nano è falso. Un impianto di unità flash è stato collegato al circuito stampato. Contiene un file con una falsa app Ledger Live. [...] Per inizializzare il dispositivo, all'utente viene chiesto di inserire le sue 24 parole nella falsa app Ledger Live. Questa è una truffa. Un Ledger Nano non è un dispositivo USB. Non contiene alcuna app da scaricare e installare sul tuo PC. L'unico modo per scaricare l'app è dalla pagina di download ufficiale. Inoltre, Ledger e Ledger Live non ti chiederanno mai di condividere la tua frase di recupero di 24 parole.

La differenza tra l'oggetto originale e quello falso è che nel secondo è stato aggiunto un flash drive collegato ad un connettore USB. Nelle istruzioni viene spiegato come attivare l'hardware collegandolo ad un PC e facendo partire un file .exe. Ad un certo punto si richiede anche la frase di recupero segreta dell'account Ledger, indispensabile per l'attivazione e l'importazione del wallet sul nuovo dispositivo. Il gioco, a questo punto, è fatto: gli hacker entrano in possesso della frase segreta ed importano sul loro wallet tutta la criptomoneta della vittima.