{"id":24172,"date":"2025-09-02T09:00:15","date_gmt":"2025-09-02T12:00:15","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=24172"},"modified":"2025-09-01T17:19:28","modified_gmt":"2025-09-01T20:19:28","slug":"ledger-vulnerability-phishing-scheme","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/ledger-vulnerability-phishing-scheme\/24172\/","title":{"rendered":"Golpe de phishing direcionado a usu\u00e1rios de carteiras Ledger"},"content":{"rendered":"

At\u00e9 recentemente, os golpistas focavam principalmente em carteiras de criptomoedas de usu\u00e1rios individuais. No entanto, parece que as empresas est\u00e3o usando cada vez mais criptomoedas, ent\u00e3o os invasores agora tamb\u00e9m est\u00e3o tentando obter acesso \u00e0s carteiras corporativas. N\u00e3o \u00e9 dif\u00edcil encontrar exemplos. O malware Efimer<\/a> recentemente estudado e distribu\u00eddo para organiza\u00e7\u00f5es, consegue substituir endere\u00e7os de carteiras de criptomoedas na \u00e1rea de transfer\u00eancia. Portanto, n\u00e3o ficamos surpresos ao observar campanhas de phishing de criptomoedas direcionadas tanto a usu\u00e1rios individuais quanto corporativos. O que realmente nos surpreendeu, por\u00e9m, foi a sofistica\u00e7\u00e3o da hist\u00f3ria falsa e do golpe como um todo.<\/p>\n

O esquema de phishing<\/h2>\n

Esse esquema em particular tem como alvo usu\u00e1rios das carteiras f\u00edsicas da Ledger, especificamente Nano X e Nano S Plus. Os golpistas enviam um e-mail de phishing com um longo pedido de desculpas. O e-mail alega que, devido a uma falha t\u00e9cnica, segmentos das chaves privadas dos usu\u00e1rios foram transmitidos para um servidor da Ledger; os dados estavam bem protegidos e criptografados, mas a \u201cequipe da empresa\u201d descobriu uma viola\u00e7\u00e3o de dados altamente complexa. A hist\u00f3ria falsa dos invasores continua afirmando que eles exfiltraram fragmentos de chaves e ent\u00e3o usaram m\u00e9todos extremamente avan\u00e7ados para descriptografar e reconstruir algumas delas, \u201clevando ao roubo de ativos criptogr\u00e1ficos\u201d. Os usu\u00e1rios s\u00e3o, ent\u00e3o, aconselhados a evitar que suas carteiras de criptomoedas sejam comprometidas pela mesma vulnerabilidade, com os invasores recomendando atualizar imediatamente o firmware de seus dispositivos.<\/p>\n

\"Solicita\u00e7\u00e3o<\/a>

Solicita\u00e7\u00e3o de phishing para atualizar o firmware<\/p><\/div>\n

\u00c9 uma hist\u00f3ria convincente, com certeza. Mas se voc\u00ea aplicar um pouco de pensamento cr\u00edtico, algumas inconsist\u00eancias surgir\u00e3o. Por exemplo, n\u00e3o est\u00e1 claro como um fragmento de chave poderia ser usado para reconstruir a chave inteira. Tamb\u00e9m \u00e9 totalmente confuso o que seriam esses \u201cm\u00e9todos avan\u00e7ados de descriptografia\u201d e como representantes da Ledger supostamente teriam conhecimento deles.<\/p>\n

O pr\u00f3prio e-mail foi elaborado com extremo cuidado: quase n\u00e3o h\u00e1 nada a apontar. Ele nem sequer foi enviado com as ferramentas padr\u00e3o usadas por golpistas; em vez disso, os invasores utilizaram um servi\u00e7o leg\u00edtimo de envio de e-mails, o SendGrid. Isso significa que os e-mails t\u00eam boa reputa\u00e7\u00e3o e frequentemente passam pelos filtros anti-phishing. Os \u00fanicos sinais de alerta s\u00e3o o dom\u00ednio do remetente e o dom\u00ednio do site para o qual os usu\u00e1rios s\u00e3o direcionados para a atualiza\u00e7\u00e3o de firmware. Nem \u00e9 preciso dizer que nenhum deles tem qualquer liga\u00e7\u00e3o com a Ledger.<\/p>\n

O site dos golpistas<\/h2>\n

O site tamb\u00e9m \u00e9 muito organizado e profissional, se voc\u00ea ignorar o dom\u00ednio totalmente irrelevante em que est\u00e1 hospedado. \u00c9 poss\u00edvel que o site veicule v\u00e1rios golpes, j\u00e1 que n\u00e3o menciona atualiza\u00e7\u00e3o de firmware e lista muito mais dispositivos do que o e-mail. O site at\u00e9 tem um chat de suporte funcional! Embora provavelmente seja um chatbot, ele responde a perguntas e oferece conselhos aparentemente \u00fateis. O objetivo do site \u00e9 fazer com que voc\u00ea insira sua frase-semente ap\u00f3s selecionar seu dispositivo.<\/p>\n

\"A<\/a>

A interface para inserir frases-semente<\/p><\/div>\n

Uma frase-semente \u00e9 uma sequ\u00eancia de palavras gerada aleatoriamente, usada para recuperar o acesso a uma carteira de criptomoedas. E, como voc\u00ea deve ter adivinhado, ela n\u00e3o deve ser inserida, pois qualquer pessoa que a conhe\u00e7a pode obter acesso total aos seus criptoativos.<\/p>\n

Por outro lado, ao pesquisar sites semelhantes no Google, voc\u00ea encontrar\u00e1 um n\u00famero surpreendente de p\u00e1ginas falsas semelhantes. Esse tipo de golpe \u00e9 claramente bastante popular.<\/p>\n

Como manter sua prote\u00e7\u00e3o?<\/h2>\n

Quer voc\u00ea gerencie seus ativos de criptomoedas em seus pr\u00f3prios dispositivos ou apenas use apps banc\u00e1rios online comuns, \u00e9 crucial estar informado sobre as \u00faltimas t\u00e1ticas usadas pelos atacantes. Para funcion\u00e1rios da empresa, recomendamos ferramentas de treinamento especializadas para aumentar sua conscientiza\u00e7\u00e3o sobre amea\u00e7as cibern\u00e9ticas modernas. Uma maneira eficaz de fazer isso \u00e9 usar a Kaspersky Automated Security Awareness Platform<\/a>. Para usu\u00e1rios dom\u00e9sticos, nosso blog<\/a> \u00e9 um \u00f3timo recurso para aprender como identificar golpes de phishing.<\/p>\n

Al\u00e9m disso, recomendamos instalar uma solu\u00e7\u00e3o de seguran\u00e7a robusta tanto nos dispositivos pessoais<\/a> quanto nos de trabalho<\/a> usados para transa\u00e7\u00f5es financeiras. Essas solu\u00e7\u00f5es podem bloquear o acesso a sites de phishing e evitar viola\u00e7\u00f5es de dados.<\/p>\n\n","protected":false},"excerpt":{"rendered":"

Os invasores contam hist\u00f3rias comoventes sobre chaves privadas perdidas para tentar obter frases-semente por phishing.<\/p>\n","protected":false},"author":2598,"featured_media":24182,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1119,1655,1656],"tags":[3243,1125,3082],"class_list":{"0":"post-24172","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-carteiras-de-criptomoedas","11":"tag-e-mail","12":"tag-sinais-de-phishing"},"hreflang":[{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/ledger-vulnerability-phishing-scheme\/24172\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/ledger-vulnerability-phishing-scheme\/28487\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/ledger-vulnerability-phishing-scheme\/40330\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/ledger-vulnerability-phishing-scheme\/13720\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/ledger-vulnerability-phishing-scheme\/23116\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/ledger-vulnerability-phishing-scheme\/32605\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/ledger-vulnerability-phishing-scheme\/29595\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.com.br\/blog\/tag\/sinais-de-phishing\/","name":"Sinais de phishing"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/24172","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/users\/2598"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/comments?post=24172"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/24172\/revisions"}],"predecessor-version":[{"id":24184,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/24172\/revisions\/24184"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media\/24182"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media?parent=24172"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/categories?post=24172"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/tags?post=24172"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}