Topic: Ledger SMS campaña de phishing – otra campaña de phishing mediante SMS en curso (Read 721 times)

----

Dear name surname
(we have included your full name for the authenticity of this message)
 
Due to latest security issues found in the encryption protocol, we strongly recommend that you proceed with the update.
We regret to inform you that Ledger has experienced a security breach affecting approximately 270.000 of our customers and that wallet associated with your email email@domain is within those affecting by the breach.
 
On Sunday, February 14th 2021, our forensics team has found several problem with encryption protocol.

Now it's technically impossible to protect your wallet without this update because we do not store anything of this in our server.
 
For the security of the wallet and your cryptocurrencies we need your help.
It only takes two minutes, but after that you will be sure that your wallet is safe.
 
Sincerely,
Ledger

<…>

We are improving our data security.

Important security update!

Dear nombre apellido,

Our system is developed according to highest security protocols. But we prevented a highly sophisticated cyber attack that could cause a breach of some user data.
Your cryptoassets are always in safety but we publish an update as additional measures to keep our infrastructure and user data more secure.
It is necessary to install a security patch to upgrade software and use Ledger Live wallet. It fixes vulnerabilities that can be processed by hackers. Security patch will be installed automatically on launching Ledger Live App and will update it to version 2.21.0. If it does not autoupdate then please download and install security patch manually from the link below: enlace.

Los datos de Ledger serán ahora tratados de las dos maneras: como un segmento más targetizado (poseedores probables de criptomonedas), o incorporado a cualquier BD de gente a spamear con cualquier pretexto (visto la bandeja de spam tras el hackeo).

en teoría no te deben de llamar si estás en esa lista....

Sería raro que no te estén bombardeando a spam, la verdad. Puede que en si no tenga nada que ver, pero desde que se filtraron los datos me llegan más de 10 emails directos a la carpeta de spam (y eso que en algunos me quieren regalar millones de dolares!), y llevo 2 semanas que recibo cada día llamadas de números madrileños de "empresas de inversión".

Por si a alguién más le pasa esto último, aparte de bloquear el número despues de la llamada, hay un forma para que te cuelguen. En mi caso con decirles un "No estoy interesado, borrad todos mis datos, no os he dado mis datos" bastó la cosa (bastante maleducado por su parte, he de decir)

<…>

Estaré más atento al email, ya que es cierto que puede que no se quede en un primer intento como hicieron con el mensaje del móvil y vuelvan a la carga por otro medio.

La probabilidad de que suceda algo físico es muy baja diría (no imposible). Al fin y al cabo, viendo donde vive uno y/o el vehículo que lleva parece más indicativo de si la persona tiene poder adquisitivo.

Estos días, entre los emails recibidos sobre mi correo expuesto, he recibido uno relativo a una persona que dice estar en posesión de los documentos KYC y los datos de contacto de un Exchange menor (con el cual tuve alguna relación en su momento). Según la persona, ha intentado chantajear al Exchange, han pasado de él, y ha pasado a pedir "la colaboración" de las personas del supuesto filtrado de datos. Según indica, la BD no es de dominio público, pero si no la rentabiliza, lo hará. Para que veamos cómo está el percal…

Lo de la mujer, hombre, lo ideal es no tener secretos con la parienta, pero si ya la conoces deberías haber previsto el posible output. Espero que se le olvide pronto.

En las navidades de 2017 le regalé un ledger escondido en un conejito de peluche, para cuando tengamos críos, y me dijo que muy bonito, pero que lo iba a dejar en un armario y no lo iba a tocar, y que me encargue yo

<…>

Otro amiguete mío ha pasado los fondos a Binance y está haciendo compound y staking y me tiene la cabeza loca, dice que están más seguros los fondos en Binance que en un ledger en tu casa, ya cada uno ...

No pensemos que con el caso Ledger ya hemos cubierto el cupo. Aunque se trate de un exchange de la india, BuyUCoin, y nos pille algo lejanos, esto le puede suceder eventualmente a cualquier otro Exchange, se haga o no público:

Un grupo de hackers ha filtrado supuestamente datos particulares de entre 161K y 325K clientes del Exchange, haciendo accesible a malhechores los nombres, emails, teléfonos, cuentas bancarias, detalles de las wallets (se entiende que en el Exchange), etc. Vamos, que ya están tardando en cambiar sus canales de comunicación y ver cómo puede afectar a sus cuentas bancarias (se me ocurre el caso de la impersonalización).

Ver: https://es.cointelegraph.com/news/breach-at-indian-exchange-buyucoin-allegedly-exposes-325k-users-personal-data

<…>

El  comercio  online,  así  como  cualquiera  que  en  su  nombre  recoja  o  trate  datos  personales,  está  obligado  a  guardar secreto profesional. Esa obligación continúa incluso después de haber finalizado la relación comercial o contractual con él.En ningún caso pueden hacerse públicos los datos personales de los visitantes y clientes de un comercio online sin su consentimiento. Su publicación en internet de forma que sea accesible sin restricciones es una violación de la normativa vigente que puede ser denunciada ante la AEPD.

Si lo que solicitas es una indemnización derivada del tratamiento de tus datos personales, puesto que en este caso debes acudir a los Tribunales

My name is Mark Zuckerberg,A philanthropist the Co- founder and CEO of the social-networking website called Facebook,As well as one of the world's youngest billionaire's and Chairman of the Mark Zuckerberg Charitable Foundation which is also One of the largest private foundations in the world right now.I believe strongly in‘giving while living' I have one idea that never changed in my mind - that you should use your wealth to help people and i have decided to secretly give {$1,500,000.00} to randomly selected individuals worldwide. On the receipt of this email, You should count yourself as the lucky winner. Your email address was chosen online while searching at random.Kindly get back to me at your earliest convenience,so I know your email address is valid(-----) Email me. Visit the web page to know more about me: https://en.wikipedia.org/wiki/ Mark_Zuckerberg/ or you can Google me (Mark Zuckerberg)

la compañía continúa señalando que cambiará la forma en la que la compañía recopilará y manejará los datos de los clientes. Por ejemplo, Ledger mantendrá los datos personales de usuarios y clientes durante el menor tiempo posible legalmente. Además también minimizará al máximo la visualización de los datos personales en correos electrónicos y moverá los datos necesarios hacia un entorno más segregado lo antes posible. Sumado a esto creará un canal seguro de comunicación y mensajería efectiva por medio de Ledger Live, que los usuarios podrán utilizar de forma confiable. 

Según informó el nuevo jefe de seguridad de Ledger, Matt Johnson, que se unió a la compañía a mediados de diciembre, la empresa ya está preparada para lanzar nuevas medidas de seguridad que permitirán reforzar la protección de los datos de sus usuarios y clientes, y evitar futuros ataques y filtraciones como el que ocurrió entre los meses de junio y julio de 2020. Esta filtración de datos, que se realizó a las bases de datos de marketing y comercio electrónico de Ledger, dejó expuesta información personal y privada de más de 1 millón de usuarios de la compañía, que se han visto fuertemente afectados por ataques de phishing, donde los ciberdelincuentes buscan engañarlos para despojarlos de sus criptomonedas.

<…>

Parecen ser dos filtraciones (manda cojones, con perdón), pero con un 93% de coincidencia (yupi ..):

<…>

este comunicado es un intento de descarga de responsabilidad sobre Shopify

The hacker claims he hacked Ledger clients’ database through a Shopify exploit in 2016. While Ledger currently uses Shopify as a third party provider for its ecommerce operation, this was not the case back in 2016.

Dear client,
 
On December 23, 2020, Shopify, our e-commerce service provider, informed Ledger of an incident involving merchant data. Rogue agent(s) of their customer support team obtained Ledger customer transactional records in April and June 2020. This is related to the incident reported by Shopify in September 2020, which concerns more than 200 merchants, but until December 21, 2020, Shopify had not identified this affected Ledger as well.
 
We were able to examine the stolen data together with a third party forensic firm to identify the impacted customers.
 
We regret to inform you that you are part of the customers whose detailed personal information was stolen by Shopify rogue agent(s). Specifically, your name and surname, detail of product(s) ordered, phone number and your postal address were exposed.
 
We notified the French Data Protection Authority on December 26, 2020. We are continuing to work with Shopify and law enforcement on the case; an investigation is already underway, led by the FBI and the RCMP. Ledger also reported the events to the French Public Prosecutor and filed a complaint against the rogue agent(s).
 
Thefts and attacks such as this cannot go uninvestigated or unprosecuted. We continue to work with law enforcement as well as private investigators on these cases, and we are adding more firepower by hiring additional private investigation capacity, adding experience and approaches to finding those responsible for these data thefts.
 
FINALLY, keeping you secure is our reason for existing. We will soon release a technical solution that will remove the 24 words as the single pillar of the security of our hardware wallets and will open the door to funds insurance.
 
If you would like more detail on the many steps we are taking to prevent such incidents in the future, please read this blog post.
 
Sincerely,
Pascal Gauthier
Ledger CEO

Y eso es todo por ahora; en palabras de la persona escuchando mis quejas, los de Ledger "han preparado una monumental", y "es casi imposible que no les caiga un paquete* (y de eso se va a encargar la AEPD)"

*Cuando hablo de que la compañia tenga que pagar, no me refiero a pagarnos a nosotros los afectados (que no estaria nada mal, pero bueno) sino que a multas y diversas sanciones por las ineptitudes que han demostrado tener a la hora de operar con información tan sensible

<…>

<…>

Hola Amigo/a,

Toda tu información personal esta circulando online después de que la empresa
Ledger Nano sufriese un hack y filtración de toda su base de datos.

Seguramente habrás recibido muchos emails de ciber-criminales pidiendote que
introduzcas tu “seed phrase” en páginas phishing (porfavor, NUNCA hagas esto)

Igual piensas que estas son las únicas consecuencias de este atentado contra tu
privacidad, pero existen más implicaciones que debes de conocer hoy mismo para
protegerte ante ellas.

Hablo sobre las consecuencias que tiene esta filtración de tus datos personales
aquí:
https://enlacechungo

Saludos,

Luigi Domenico

----

"You have received 0.08155120 BTC, please login and confirm: HTTPS[colon]//BLOCKCHAlN [dot]IO

<…>

<…>

----

8k España
17k Francia
23k Alemania
... una p.mierda.

<...>

I'm posting here again because there is something new and unfortunately the phishing and other scams attempts are not about to stop since someone has made the stolen database available for free on 'raidforums'.

https://twitter.com/JimmyMcShill/status/1340733120610447365

Ledger confirmed 

https://twitter.com/Ledger/status/1340769565639233536

272.853 pedidos con todos los datos personales (Email, Direcciones, Telefono)
1.075.382 direcciones de email suscritas al newsletter

From: ledger Alerts [email protected]

Your Ledger Hardware Wallet has been deactivated.

Unfortunately, due to the new KYC policy, you are required to confirm your identity:
https[dos puntos]//docs[punto]google[punto]com/document/d/e/2PACX-1vQjTM5NpOsIYz97qt6Bv8fdTUfMBReCqiBkilPtyKxqN5BSuGVEa7wWF5butVwiI-y1h-qN7oTMKCur/pub?embedded=true

Ledger Verification TeamW67PT8Q04WK-994

¿Los míticos Incoterms? Típico de empresariales, mi pareja estudió comercio internacional y ahí se los cascaron también. Materia interesante que no sé cómo estará a día de hoy pero he leído hace no mucho que con la tecnología blockchain podría mejorarse (añadiendo sensórica, supongo).

¿Has contactado finalmente con la Agencia? Mantennos informados please.

Mas alla del comercio internacional y derecho maritimo que he tocado en la carrera por encima.... se me escapa el resto de cosas; tengo las neuronas justas para entender un BOE   Pero si, en principio contactare esta semana con la agencia española de proteccion de datos para ver que se puede hacer; en un mundo yanki ideal, igual hasta pillaba cacho por la poca cabeza de esta empresa a la hora de proteger datos, pero me conformare con que les peguen un tirón de orejas... Ddmr, si quieres voy actualizando mi consulta aqui, y como a ti tambien te ha llegado, puedes decidir a ver si te animas tambien

Ok, toda información en este sentido es buena. Dudo que la APD haga mucho. Que yo sepa, el mal uso y abuso es el terreno en el cual se suelen mover, pero un hackeo me da que no lleva a nada serio en términos de sanción.

<…> Afirmativo; con el 8 duplicado 4 veces en total.

Ddmr, si quieres voy actualizando mi consulta aqui, y como a ti tambien te ha llegado, puedes decidir a ver si te animas tambien

¿La parte numérica del Id que tienes es 8nnnn2? (nnnn números adicionales).

----

<...>

Your hardware wallet has been deactivated. Due to the new KYC regulations, you are required to pass verification: ledger[dot]com[dot]device[dot]id[dot]nnnnnn[dot]app/verification

Creo que toca retomar el tema.... @Porfirii, me suena que eras un pequeño picapleitos? (sin animo de ofender evidentemente)

Your hardware wallets has been deactivated. Duer to the new KYC regulations, you are required to pass verification: (enlace tope chungo)

¡Muchas gracias por el aviso DdmrDdmr!

Me imagino que habrán tomado/tomarán medidas a partir de ahora, pero parte del daño ya está hecho al haberse filtrado la información. Lo que me parece curioso es que a mí nunca me haya llegado nada, igual no era buen cliente y me borraron de su base de datos en buena hora por cierto

Con tu permiso, aprovecho para lanzar otro Aviso: Ayer en twitter, un usuario bastante veterano reportó que le habían limpiado la cuenta de trading; al parecer, recibió un SMS en el que ponía que recibiría un paquete, y un link de tracking, y como siempre espera paquetería, hizo click y cayó en la trampa. No dio muchos detalles, comentaba que la pérdida había sido "devastadora" y necesitaba desconectar un tiempo, y no me quiero imaginar además cómo después de la euforia del ATH de ayer, al poco se diera cuenta de que le habían robado. Según comentarios de otros usuarios, podía tratarse de que a través del sms le robaban las claves del 2FA, y recomendaban no tenerlas instaladas en el teléfono principal por seguridad, sino en un segundo teléfono sin conexión a Internet.

Pero bueno, este es otro tema, si sale más información y da como para abrir un hilo ya haremos el fork. Dejemos este para seguir haciendo seguimiento del caso de Ledger.