חברת טרזור, יצרנית ארנקי החומרה הפופולריים, דיווחה אתמול (ד') בערב על מתקפת פישינג מתמשכת כלפי לקוחותיה, לאחר שזיהתה ניסיון התחזות מכתובת אימייל רשמית של החברה שגורמים זדוניים הצליחו להשיג אליה גישה.
בהודעה ששלחה טרזור ללקוחותיה בדוא"ל ופורסמה גם ב-X (טוויטר לשעבר) מסרה החברה ללקוחותיה כי "אם קיבלתם אימייל חשוד הנושא את הכותרת 'Assets undergoing upgrade' ('נכסים בשדרוג') מהכתובת [email protected], אנא הימנעו ממלחוץ על שום קישור או לספק שום מידע". כמו כן המליצו בחברה למחוק את האימייל מיידית.
ללקוחות שנפלו בהונאה ומסרו את 12 או 24 המילים שמרכיבים את ה-Seed Phrase מומלץ להעביר מיידית את כל המטבעות הדיגיטליים שלהם לארנקים חדשים. בחברה הדגישו שנכסיהם של לקוחות שנמנעו מלמסור את ה-Seed Phrase שלהם בטוחים ואין חשש שההאקרים ישיגו גישה אליהם.
באימייל שנשלח ללקוחות טרזור הודגש כי ייתכן ויהיו ניסיונות פישינג נוספים דרך רשימות התפוצה של החברה, וכי עליהם להישאר עירניים ולעולם לא למסור את המפתחות הפרטיים לשום גורם שהוא.
טרזור טוענת – מקור הדליפה בגורם צד שלישי
בתחילת השבוע דיווחה טרזור בבלוג הרשמי של החברה כי ב-17 בינואר גורם בלתי מאושר הצליח להשיג גישה לרשימת תפוצה הכוללת כ-66,000 כתובות אימייל של לקוחותיה, באמצעות גורם צד שלישי המשמש אותה לניהול תמיכה ושירות לקוחות. מדובר בלקוחות אשר היו בתקשורת עם החברה דרך האימייל מאז דצמבר 2021.
כדי לבדוק אם כתובת האימייל שלכם היתה ברשימה שדלפה הזינו אותה ב-HaveIBeenPwned. על הדרך תגלו אם המידע שלכם דלף גם בפריצות אבטחה קודמות.
בקיץ 2020 אירוע דומה התרחש אצל המתחרה לדג'ר, כאשר מאגר מידע המכיל יותר ממיליון כתובת אימייל דלף והוצע למכירה ברשת האפלה. מאגר המידע שדלף אף כלל כתובות פיזיות, מספרי טלפון ומידע רגיש של כ-272,000 מלקוחות החברה.
מאגרי מידע ורשימות תפוצה אלה משמשים גורמים זדוניים כאמצעי להשגת המפתחות הפרטיים של הלקוחות, וכך לגנוב את המטבעות הדיגיטליים שלהם, אולם מכשירי ארנקי החומרה עצמם אינם נתונים בסיכון שכן המפתחות הפרטיים שלהם לעולם לא מגיעים לאינטרנט כל עוד המשתמשים נמנעים מלמסור את המפתחות הפרטיים, קרי את רשימת 12 או 24 המילים של ה-Seed Phrase או את מחרוזת האותיות והספרות שמרכיבות את המפתח הפרטי עצמו.
עדכון 11:50:
מדיווח שהגיע למערכת קריפטו ג'ונגל וממקורות אחרים מתברר כעת כי המתקפה אינה מוגבלת ללקוחות שפרטיהם היו ברשימות התפוצה של טרזור, וכי הודעות אימייל כוזבות נשלחו גם מכתובות רשמיות של אתר חדשות הקריפטו הפופולרי קוינטלגרף, מהשירותים Wallet Connect, Token Terminal, DeFi team וייתכן שאף ממקורות אחרים.
בפוסט שהעלה ל-X משתמש בשם ZachXBT הובאה כתובת ארנק אתריום שככל הנראה משמשת את הגנבים, ושלהערכתו הועברו ממנה עד כה כ-580,000 דולר. הכתובת היא
