Trezor と Ledger のユーザーは最近、「偽造された実体信書」を利用したフィッシング攻撃を再び受けています

深潮 TechFlow の報告によると、2月17日、暗号通貨ハードウェアウォレットのLedgerとTrezorのユーザーに対し、再び標的型フィッシングメールが送られ、助言記憶語の窃取を試みていることが判明しました。ネットセキュリティの専門家であるDmitry Smilyanetsは、2月13日にTrezorを装ったメールを受信したと報告し、その内容は「2月15日までに本人確認を行わなければ、デバイスの使用制限がかかる」と記されていました。

これらのフィッシングメールにはホログラムやQRコードが含まれており、スキャンするとLedgerやTrezorの偽の設定ページに誘導され、ユーザーにウォレットの助言記憶語の入力を騙し取ろうとします。メールにはTrezorのCEOであるMatěj Žákの署名が偽造されていましたが、誤って「Ledger CEO」と記載されていました。

なお、これは初めての攻撃ではありません。Ledgerおよびそのサードパーティのパートナーは近年、複数回の大規模なデータ漏洩に見舞われており、顧客の住所などの情報が漏洩しています。また、Trezorも2024年1月に約66,000人の顧客の連絡先情報が漏洩したセキュリティ脆弱性を報告しています。