O apresentador do podcast do Magic Internet Money, Brad Mills, compartilhou um incidente em que um homem perdeu $ 50.000 (aproximadamente R$ 258 mil) após cair em um golpe de phishing da Ledger. A quantia seria a economia de uma vida da vítima.
No mês de agosto a empresa Ledger teve dados de clientes vazados e a maioria dos usuários das famosas carteiras de hardware tiveram seus e-mails expostos. De acordo com várias capturas de tela em comunidades de criptomoedas, os golpistas que tiveram acesso à lista de e-mails começaram a enviar phishing para as vítimas na tentativa de roubar os bitcoins.
Apesar de o assunto ter sido amplamente divulgado, a possibilidade de alguém abrir um desses e-mails está se tornando quase inevitável. Uma vítima acabou caindo no golpe e perdeu $ 50 mil após baixar um software falso.
Hey @Ledger you need to keep sending phishing warnings to all of your customers!
People are losing their savings because of the hack!
Get in front of it, continually send out purposeful emails to your customers *just* about the hack!
Be a good steward! You need to do better. pic.twitter.com/AlNCMbIBST
— Brad Mills (🔑,🧀) (@bradmillscan) December 9, 2020
Uma tática comum que os golpistas usam é enviar um e-mail de alerta informando que o usuário precisa atualizar o dispositivo para, pasmem, não ser vítima de golpes.
A mensagem cita inclusive o vazamento de dados e que as moedas do usuário estão em risco.
“Se você recebeu este e-mail é porque você foi afetado pela falha de segurança, por favor, baixe a versão mais atualizada no link abaixo”.
Se o usuário clicar no link e instalar o software ele acaba configurando um novo PIN da carteira e envia as criptomoedas para os golpistas.
A Ledger teve os dados vazados em outubro deste ano e desde então diversas pessoas relataram casos parecidos no Reddit e no Twitter.
A empresa diz que os usuários não devem baixar atualizações de um site que não seja o site oficial. A Ledger também disse que a frase inicial de recuperação nunca deve ser inserida em nenhum site, já que a Ledger nunca solicita tais informações aos usuários.
A empresa se comprometeu a tomar medidas proativas para evitar que os golpes continuem acontecendo.
“Os usuários da Ledger são continuamente alvos de ataques de phishing em mídias sociais, mecanismos de pesquisa e por e-mail. Os golpistas são capazes de imitar perfeitamente o site, o conteúdo ou os aplicativos de Ledger para atrair os usuários a inserir sua frase de recuperação de 24 palavras. Por favor, seja muito cauteloso. Se você for solicitado a fornecer sua frase de recuperação OU enviar ativos, é golpe.” Diz a empresa em seu site.
A empresa ainda cita as seguintes medidas de segurança:
- Lembrete: qualquer pessoa com acesso à sua frase de recuperação de 24 palavras pode levar seus ativos.
- Nunca insira sua frase de recuperação de 24 palavras em qualquer outro lugar além do seu dispositivo Ledger.
- A Ledger nunca pedirá sua frase de recuperação de 24 palavras.
- Use apenas contato oficial da Ledger.
