A francia Ledger a gyártja az egyik legnépszerűbb kriptós hardver tárcát, a Ledger Nano S-t, amiből 2017-es debütálása óta már több millió darabot értékesítettek. A cég termékét nemrégiben a francia kiberbiztonsági hivatal is elsőosztályú minősítéssel látta el, ám egyes esetekben még ez a csúcstechnológia is kevésnek bizonyulhat, ha a támadás nem magát az eszközt, hanem az azt használó emberek hiszékenységét és tapasztalatlanságát veszi célba.
A nemzetközi közösség tagjai nap mint nap szembesülnek a népszerű kriptós termékeket és szolgáltatásokat, köztük a Ledgert imitáló átverésekkel, így előbb-utóbb hazánkban is felüthetik majd a fejüket a wallet felhasználóit célzó támadások. A következőkben olyan módszereket ismerkedhettek meg, melyekkel a tolvajok korábban már sikeresen húzták csőbe a mit sem sejtő áldozataikat.
Betöltés ...Előre generált kulcsok
A Ledger az első üzembehelyezése során, egy 24 darab véletlenszerűen generált szóból álló helyreállító kódot hoz létre, amivel az eszköz elvesztése, vagy megsemmisülése után is hozzá lehet férni az itt tárolt kriptopénzekhez. Mivel az, aki ismeri ezt a 24 szót képes hozzáférni a Ledger tartalmához, ezért ezek létrehozását sohasem a gyártó végzi el, hanem azt minden esetben a felhasználókra hagyja. Ha az általunk vásárolt tárca csomagolásban olyan papírt találnánk, amire már fel van írva a “gyártó által” legenerált 24 szavas seed kulcs, akkor biztosan átveréssel lesz dolgunk.
A képen egy olyan papírt láthattok, amin a felirat szerint a felület lekaparása után válik láthatóvá a helyreállító kulcs. Ez egy kezdő felhasználó számára hiteles óvintézkedésnek tűnhet, ám valójában egy átverési kísérletről van szó, ahol a támadó egy előzetesen megvásárolt Ledger dobozában helyezte el a hivatalosnak tűnő lapocskát, amit aztán újra becsomagolva értékesített tovább.
Ezt a fajta támadást úgy védhetjük, ha kizárólag a leghitelesebb forrásból, közvetlenül a gyártó honlapjáról vásárolunk. Minden más forrásból beszerzett tárcánál fennáll a lehetősége annak, hogy egy buherált csomagolású terméket kapunk a pénzünkért. Ha biztosra akarunk menni, a tárcánk dobozának tartalmát a gyártó honlapján közzétett képekkel is összevehetjük.
Egyes bűnözők úgy próbálnak vevő találni ezekre a Ledgerekre, hogy előre rátöltött bitcoinokat ígérnek a vásárlóknak ajándékként, de a tárca BTC címének ismerete ismét csak azt jelenti, hogy az eladó már használta az eszközt és ismeri annak a helyreállító jelszavait, ezért véletlenül se dőljünk be a “kihagyhatatlan” ajánlatának.
Egy másik Ledger dobozába ezeket a hamis jelszavakat és PIN kódot csempészték bele
Akinek mégis egy ilyen kétes eredetű eszköz került volna a birtokába, annak mindenképpen érdemes egy gyári helyreállítást (factory reset) végrehajtania, amivel újra lehet generálni a tárcához tartozó PIN kódot és seed jelszót is, ám kifejezetten erre sem érdemes rájátszani (tehát emiatt mondjuk egy olcsóbb és használt tárcát venni), mert soha nem lehetünk biztosak abban, hogy az előző tulajdonos ezen kívül még milyen módosításokat hajtott végre az eszközön. Ne a biztonság legyen az a pont, ahol spórolni akarjunk.
A dobozban elhelyezett papírok egyébként a fentieknél akár sokkal trükkösebbek is lehetnek. A lenti képen például egy hamis ügyfélszolgálati telefonszámot tüntettek fel a wallet mellé adott brossúrán, amin az ügyélnek a tárcához tartozó kódokat kellett volna igényelni és aktiválnia.
Hamis telefonszám az aktiváláshoz
A Ledgerhez tartozó 24 szavas seed jelszót és PIN kódot mindenki saját magának tudja létrehozni a készülék üzembehelyezése során. Soha ne tároljunk kriptopénzt olyan Ledgeren, aminek mások hozták létre a jelszavait.
Hamis Ledger szoftver
Az interneten összeszedett kártevő programok, vagy kéretlen felbukkanó ablakok a Ledger tárcát imitálva kérhetik, hogy adjuk meg a 24 szavas seed kulcsunkat.
A seed jelszót mindig kizárólag csak a Ledgeren található fizikai nyomógombokkal gépeljük be és soha ne használjuk erre a számítógépünk vagy a telefonunk billentyűzetét. A hardveres tárcák olyan biztonsági modullal vannak felszerelve, amik megakadályozzák, hogy az így bevitt adatokat el lehessen lopni, vagy le lehessen másolni. A tárcához való programokat kizárólag a hivatalos honlapról szabad letölteni.
Hamis ügyfélszolgálat
Az első pontban már megemlítettük a hamis ügyfélszolgálti telefonszámmal operáló átveréseket, de ilyen típusú támadások a közösségi oldalakon is érhetnek bennünket például akkor, ha egy nyilvános Facebook csoportban kérdést teszünk fel az eszköz működésével kapcsolatban. Nemzetközi fórumokon ilyenkor gyakran előfordul, hogy egy csaló a Ledger ügyfélszolgálatánál dolgozó embernek adja ki magát és igyekszik az áldozat bizalmába férkőzve megszerezni annak seed jelszavát. Az is megeshet, hogy távoli elérést kérnek tőlünk, amivel egy másik gépről tudják kezelni és “megjavítani” a mi számítógépünkre csatlakoztatott tárcát. Ezt soha és semmilyen körülmények között ne biztosítsuk a számukra.
A Ledger munkatársai sohasem lépnek kapcsolatba maguktól a felhasználókkal és sohasem kérik őket arra, hogy hozzáférést kapjanak az ügyfelek tárcájához. Az első lépést mindig nekünk kell megtennünk a gyártó hivatalos ügyfélszolgálatánál (angol nyelven). A Ledger kizárólag írásban kommunikál az ügyfelekkel, nincsen telefonos ügyfélszolgálatuk.
A kriptopénzek elterjedésével egy örökké tartó macska-egér játékra kell felkészülnünk a csalók ellen, amiben mindig jó, ha nyitva tartjuk a szemünket és szkeptikusan viszonyulunk ahhoz, ha számunkra szokatlan dolgokkal találkozunk. A bűnözők által használt valamennyi trükköt szinte lehetetlen lenne felsorolni, hiszen ezeknek csak az elkövetők kreativitása szab határt, de ha esetleg ismertek a fentiekhez hasonló trükkös átveréseket, osszátok meg velünk a hozzászólásokban.
A MrCoin oldalán több, mint 400 féle kriptopénzt vásárolhatsz meg forint ellenében, amiket a szolgáltató azonnal a saját tárcádba utal át.
