Criptovalute

Un’elaborata truffa può colpire gli utenti dei wallet Ledger

Ledger è un’azienda leader della sicurezza e specializzata in prodotti per criptovalute. In particolare Ledger si è qualificata nella realizzazione di wallet hardware ed è stata anche scelta da Samsung come partner per integrare il wallet software sugli smartphone Galaxy. Purtroppo a marzo 2021 l’azienda è stata colpita da un data breach, che oggi sta producendo dei gravi tentativi di truffa. Cosa sta accadendo?

Nel marzo 2021 un non meglio identificato gruppo di hacker colpì, attraverso Shopify, Ledger. Non è la prima volte che accade: già nel corso del 2020 Ledger fu vittima di attacchi hacker – il più grave risale al dicembre 2020 ed espose i dati di 270mila utenti. Il data breach di marzo scorso ha svelato informazioni riservate di circa ventimila utenti, per lo più residenti negli Stati Uniti. Oggi alcuni di questi utenti raccontano, su Reddit, di aver ricevuto una proposta di truffa via posta. Gli utenti ricevono, a mezzo posta, un pacco contenente un nuovo wallet Ledger Nano X – il modello top tra i wallet prodotti dall’azienda.

In allegato si trova una lettera che sarebbe stata scritta dal CEO di Ledger, Pascal Gaunthier. In un inglese sgrammaticato si informa la vittima che Ledger ha inviato un dispositivo sostitutivo per scusarsi per l’accaduto. Le istruzioni allegate nella confezione, che appare anche alterata, informano che è necessario svelare la propria “frase di recupero privata” per collegare il proprio wallet in criptovaluta con il nuovo hardware di Ledger.

Bleeping Computer, grazie all’aiuto di un utente Reddit specializzato in sicurezza informatica, ha verificato la manomissione dell’hardware inviato e ha confermato la truffa. La pagina di riferimento sul sito di Ledger in merito alle truffe è questa, mentre su Twitter un messaggio fissato in alto invita gli utenti a prestare attenzione e a non svelare mai la “frase di recupero privata”.

Non potrà proteggerti dalle truffa via posta, ma un buon antivirus ti consente di installare plugin sul tuo browser per evitare il phishing. Trovi le migliori suite su Amazon.