Phishing listem na seed phrase Ledger

TL;DR

Phishing nie musi przyjść e-mailem ani SMS-em. W kampanii opisanej przez HackRead oszuści wysyłali fizyczne listy podszywające się pod Ledger, producenta portfeli sprzętowych. List zawierał logo, numer referencyjny, pilną informację o rzekomej aktualizacji bezpieczeństwa Quantum Resistance i kod QR prowadzący do strony wyłudzającej 24-wyrazową frazę odzyskiwania.

To bardzo dobry przykład, jak socjotechnika łączy kanały offline i online. Fizyczny list buduje autorytet, QR przenosi odbiorcę do fałszywej strony, a presja terminu ma skłonić do wykonania instrukcji bez sprawdzania źródła. Dla właściciela portfela sprzętowego najważniejsza zasada jest bezwzględna: seed phrase, czyli fraza odzyskiwania, nigdy nie jest wpisywana na stronie i nigdy nie jest przekazywana komukolwiek.

Ten scenariusz ma znaczenie także poza kryptowalutami. Pokazuje, że firmy powinny uczyć pracowników nie tylko podejrzanych e-maili, ale też kodów QR, listów, paczek, dokumentów i instrukcji, które wyglądają oficjalnie, ale prowadzą do cyfrowego wyłudzenia.

Dlaczego fizyczny list obniża czujność

Wiele osób nauczyło się nie ufać podejrzanym e-mailom. Fizyczny list działa inaczej. Ma papier, logo, adres, numer referencyjny, podpis i poczucie formalności. Odbiorca może uznać, że skoro ktoś poniósł koszt wysyłki i zna jego adres, komunikat jest bardziej wiarygodny.

To błąd, ale zrozumiały. Socjotechnika wykorzystuje skojarzenia. List kojarzy się z urzędem, bankiem, operatorem, producentem, ubezpieczycielem albo dostawcą usług. Jeżeli dodatkowo zawiera indywidualny numer, termin i ostrzeżenie o utracie funkcjonalności, odbiorca może potraktować go jak obowiązkową procedurę.

W praktyce fizyczny kanał jest tylko pierwszym etapem. Prawdziwy phishing zaczyna się w momencie zeskanowania kodu QR i wejścia na stronę kontrolowaną przez napastnika. Papier ma jedynie sprawić, że użytkownik wykona cyfrową czynność z mniejszym oporem.

Seed phrase to nie hasło

W przypadku portfela kryptowalut 24-wyrazowa fraza odzyskiwania jest ważniejsza niż hasło. Secret Recovery Phrase pozwala odtworzyć dostęp do portfela. Kto ją zna, może przenieść środki. Nie potrzebuje fizycznego urządzenia, numeru telefonu ani rozmowy z supportem, jeśli ma wystarczające dane do odtworzenia portfela.

Dlatego Ledger konsekwentnie przypomina, że nigdy nie prosi o 24 słowa frazy odzyskiwania. Nie przez stronę, aplikację, e-mail, telefon, QR, formularz ani fizyczny list. Fraza odzyskiwania powinna być wpisywana wyłącznie na zaufanym urządzeniu w procesie odzyskiwania, a nie na stronie internetowej.

Fałszywy list jest skuteczny, bo ubiera wyłudzenie w język aktualizacji bezpieczeństwa. Rzekoma odporność na komputery kwantowe brzmi technicznie i może wzbudzać niepokój. Odbiorca nie musi rozumieć szczegółów kryptografii. Ma poczuć, że jeśli nie wykona instrukcji, straci dostęp albo bezpieczeństwo.

QR jako pomost między papierem i phishingiem

Kod QR jest wygodny, ale w phishingu ma jedną przewagę dla napastnika: ukrywa adres do momentu zeskanowania. Użytkownik nie widzi pełnej domeny na papierze. Telefon szybko otwiera stronę, a jeśli strona wygląda profesjonalnie, użytkownik może kontynuować proces.

Quishing, czyli phishing z użyciem kodów QR, dobrze łączy się z fizycznymi listami, paczkami, plakatami, fakturami i ulotkami. Nie trzeba przełamywać filtra poczty. Nie trzeba dostarczać maila do skrzynki. Wystarczy przekonać odbiorcę, że kod jest elementem oficjalnej procedury.

W firmach ten sam mechanizm może dotyczyć fałszywych listów od dostawcy usług, operatora, banku, ubezpieczyciela, firm kurierskich, benefitów pracowniczych albo dostawcy sprzętu. Jeśli kod QR prowadzi do logowania, płatności, podania danych albo instalacji aplikacji, powinien być traktowany jak każdy inny podejrzany link.

Co zrobić, jeśli list już przyszedł

Jeżeli użytkownik otrzymał list z kodem QR i prośbą o podanie recovery phrase, nie powinien skanować kodu ani wchodzić na stronę. Najlepiej zachować list jako dowód i sprawdzić sprawę przez oficjalną stronę Ledger wpisaną samodzielnie albo przez oficjalny kanał wsparcia. Nie należy korzystać z adresów, kodów i numerów podanych w samym liście.

Jeżeli kod został zeskanowany, ale fraza nie została wpisana, należy zamknąć stronę i nie wracać do niej. Warto sprawdzić, czy nie pobrano aplikacji, rozszerzenia albo pliku. Jeżeli strona prosiła o inne dane, trzeba ocenić, czy mogą posłużyć do dalszych prób kontaktu.

Jeżeli 24 słowa zostały wpisane na stronie, trzeba działać natychmiast. Najbezpieczniejszym krokiem jest przeniesienie środków do nowego portfela z nową frazą odzyskiwania, zanim zrobi to atakujący. Stara fraza powinna być traktowana jako ujawniona i niebezpieczna. Zmiana hasła do aplikacji nie wystarczy, jeśli seed phrase został przekazany.

Polski kontekst

W Polsce podobny scenariusz może dotyczyć nie tylko kryptowalut. Fałszywy list może podszywać się pod bank, operatora, urząd, dostawcę hostingu, system księgowy, usługę e-Doręczeń, producenta sprzętu, dostawcę energii albo platformę inwestycyjną. Kod QR może prowadzić do płatności, logowania, aktualizacji danych albo rzekomego panelu bezpieczeństwa.

Dla firm jest to szczególnie istotne przy recepcji, administracji, finansach i zarządzie. Fizyczne dokumenty często trafiają do obiegu wewnętrznego bez takiego dystansu jak e-mail. Jeśli list wygląda oficjalnie, może zostać zeskanowany albo przekazany dalej jako zadanie do wykonania.

W programie security awareness warto uwzględnić scenariusze offline-to-online. Pracownik powinien rozumieć, że kod QR na papierze jest linkiem. A link na papierze może być phishingiem tak samo jak link w mailu.

Jak ćwiczyć taki scenariusz

W testach phishingowych dla firm można bezpiecznie odtworzyć scenariusz QR na dokumencie, plakacie lub liście. Celem nie jest łapanie ludzi na skanowaniu, ale sprawdzenie, czy wiedzą, że QR prowadzący do logowania lub podania danych wymaga weryfikacji.

Metryki powinny obejmować zeskanowanie kodu, wejście na stronę, próbę podania danych, zgłoszenie do IT lub bezpieczeństwa i czas reakcji. Warto też sprawdzić, czy osoba przekazała dokument dalej jako zadanie, czy zatrzymała proces.

Po ćwiczeniu najlepiej pokazać prostą zasadę: kod QR to adres URL ukryty w obrazku. Jeżeli prowadzi do pieniędzy, konta, danych, hasła, seed phrase, MFA albo instalacji aplikacji, nie wolno traktować go jako bezpieczniejszego od linku w e-mailu.

Wniosek

Fałszywy list Ledger pokazuje, że phishing wychodzi poza skrzynkę pocztową. Papier, logo i kod QR mogą wyglądać bardziej wiarygodnie niż e-mail, ale cel jest ten sam: skłonić użytkownika do przekazania informacji, której nigdy nie powinien ujawniać.

Praktyczna zasada dla kryptowalut jest bezwzględna: 24 słów frazy odzyskiwania nie wpisuje się na stronie i nie podaje nikomu. Praktyczna zasada dla firm jest równie prosta: każdy kod QR prowadzący do logowania, płatności, danych albo instalacji aplikacji to link, który wymaga takiej samej weryfikacji jak podejrzany e-mail.