Kampanye phishing yang sedang berlangsung berpura-pura menjadi pemberitahuan pelanggaran data Trezor yang mencoba mencuri dompet cryptocurrency target dan asetnya.
Trezor adalah dompet cryptocurrency perangkat keras tempat pengguna dapat menyimpan cryptocurrency mereka secara offline daripada di dompet atau dompet berbasis cloud yang disimpan di perangkat mereka. Menggunakan dompet perangkat keras seperti Trezor menambah perlindungan dari malware dan perangkat yang disusupi, karena dompet tidak dimaksudkan untuk dihubungkan ke PC Anda.
Saat menyiapkan dompet Trezor baru, pengguna diberi benih pemulihan 12 atau 24 kata yang dapat digunakan untuk memulihkan dompet jika perangkat dicuri, hilang, atau tidak berfungsi.
Namun, siapa pun yang mendapatkan akses ke seed ini juga dapat memulihkan dompet di perangkat mereka sendiri, menjadikannya target yang menarik bagi pelaku ancaman.
Kampanye phishing besar-besaran menargetkan pengguna Trezor
Mulai 27 Februari, pelanggan Trezor mulai menerima SMS dan pesan email phishing yang menyatakan bahwa Trezor mengalami pelanggaran data. Pesan-pesan ini meminta target untuk mengunjungi situs web yang terdaftar untuk mengamankan perangkat mereka.
“Trezor Suite baru-baru ini mengalami pelanggaran keamanan, asumsikan semua aset Anda rentan. Harap ikuti prosedur keamanan untuk mengamankan aset Anda: [phishing-site],” membaca pesan peringatan pelanggaran data Trezor palsu.
BleepingComputer menerima salah satu email phishing ini. Seorang peneliti keamanan yang dikenal sebagai Mich juga pernah penerimaan dan pelaporan banyak teks phishing SMS yang mereka terima, seperti yang ditunjukkan di bawah ini.
Sumber: Mich
Saat mengunjungi domain yang terdaftar, pengunjung akan diperlihatkan situs Trezor palsu yang menyatakan, “Aset Anda mungkin berisiko!” dan kemudian meminta Anda untuk mulai mengamankan dompet Anda.
Sumber: Urlscan
Saat pengguna mengklik tombol ‘Mulai’, mereka pada akhirnya akan diminta untuk memasukkan benih pemulihan mereka, yang kemudian akan dicuri oleh pelaku ancaman.
Setelah benih pemulihan dicuri, pemilik dompet akan berakhir, karena pelaku ancaman kemungkinan besar akan dengan cepat mentransfer aset apa pun ke alamat lain di bawah kendali mereka.
Oleh karena itu, sangat penting untuk tidak pernah membagikan kata sandi, seed, atau frasa pemulihan dompet Anda dengan orang lain atau memasukkannya ke situs mana pun.
Trezor mengetahui kampanye phishing dan memperingatkan pengguna untuk berhati-hati terhadap SMS phishing dan peringatan email tentang pelanggaran data palsu. Perusahaan juga menyatakan bahwa mereka belum menemukan bukti pelanggaran data baru-baru ini di sistemnya.
“Waspadalah terhadap penipuan phishing aktif! Penyerang menghubungi korban melalui panggilan telepon, SMS, dan/atau email untuk mengatakan bahwa telah terjadi pelanggaran keamanan atau aktivitas mencurigakan di akun Trezor mereka,” tweeted Trezor.
“Tolong abaikan pesan-pesan ini karena bukan dari Trezor.”
“Kami belum menemukan bukti pelanggaran basis data baru-baru ini. Kami tidak akan pernah menghubungi Anda melalui telepon atau SMS.”
Meskipun tidak diketahui bagaimana pelaku ancaman menargetkan nomor telepon dan alamat email pelanggan Trezor, bisa jadi melalui daftar pemasaran dicuri dalam pelanggaran MailChimp pada Maret 2022.
MailChimp mengatakan kepada BleepingComputer bahwa pelaku ancaman mencuri data dari 102 pelanggan, dengan sebagian besar di sektor cryptocurrency dan keuangan.
Pelaku ancaman segera menggunakan daftar pemasaran Trezor untuk mengirim a gelombang besar pemberitahuan pelanggaran data palsu pada April 2022, mengarah ke situs yang menghosting Trezor Suite palsu.
Saat diinstal, Trezor Suite ini akan meminta pengguna untuk memasukkan seed pemulihan mereka, yang kemudian dikirim kembali ke pelaku ancaman.
Meskipun kampanye phishing saat ini tidak menggunakan perangkat lunak palsu, pelaku ancaman masih berusaha mencuri benih pemulihan Anda. Oleh karena itu, seperti yang kami katakan sebelumnya, dan perlu diulangi, jangan pernah membagikan benih pemulihan Anda dengan siapa pun atau di situs mana pun.
