חשיפת מבצע הונאה מתוחכם: מכשירי Ledger מזויפים גונבים נתונים רגישים

#1 · 18/04/2026, 04:16

ציטוט מ מערכת האתר ב 18/04/2026, 04:16

חוקר אבטחת סייבר מברזיל הצליח לחשוף מבצע הונאה בקנה מידה עולמי, כאשר גילה ארנק חומרה מזויף מסוג "Ledger" שנרכש משוק סיני. למרות שהאריזה נראתה אותנטית לחלוטין והמחיר היה זהה למחיר בחנות הרשמית, המכשיר היה מזויף. החוקר זיהה את ההונאה לאחר שכשל בבדיקת האימות באמצעות תוכנת Ledger Live.

חיבור המכשיר לתוכנה הרשמית של Ledger חשף כי מדובר במכשיר לא אמיתי, מה שהוביל את החוקר לפתוח את המכשיר ולבחון את החומרה והתוכנה הפנימית שלו. בתוך המכשיר התגלה שבב שונה מהשבבים המקוריים, וסימני הזיהוי שלו הוסרו כדי להסתיר את מקורו. יתרה מזאת, המכשיר כלל אנטנת WiFi ו-Bluetooth, שאינם קיימים ב-Ledger Nano S+ האמיתי.

ניתוח מעמיק של מבנה השבב והסרת הקודים הצביעו על כך שמדובר בשבב ESP32-S3 עם זיכרון פלאש פנימי. לאחר פענוח התוכנה, התגלה כי ה-PIN והנתונים הרגישים נשמרים בטקסט גלוי ונשלחים לשרתים חיצוניים הנשלטים על ידי התוקפים.

המבצע המלא של ההונאה כולל מכשירים עם שבבי ESP32-S3, אפליקציות טרויאניות לפלטפורמות שונות ושרתים לשליטה ובקרה. כאשר משתמש סורק קוד QR הכלול באריזה, הוא מופנה לאתר משוכפל של Ledger ומוריד אפליקציה מזויפת. האפליקציה לוכדת את משפטי הסיד ומעבירה אותם לשרתים חיצוניים.

החוקר גם פירק את גרסת ה-APK של אפליקציית Ledger Live המזויפת, ומצא התנהגות זדונית נוספת. האפליקציה יירטה פקודות בין המכשיר לאפליקציה, וביקשה הרשאות מיקום כדי לעקוב אחרי יתרות ארנק. הממצאים מוכיחים שהתוקפים מסוגלים לעקוב אחרי פעולות המשתמשים ולקבל גישה למידע רגיש.

חשוב להדגיש שמדובר בהתקפת פישינג ולא בפגם באבטחת ה-Ledger המקורי. החוקר פנה לצוות התמיכה של Ledger עם דוח מפורט והמלצות להמשך המחקר. מקרים דומים דווחו בעבר, אך הפעם מדובר בהונאה מתוחכמת במיוחד המשלבת חומרה מזויפת ותשתית חיצונית רחבה.

סיום הכתבה מזמין את הקוראים לשאול ולהשתתף בדיון על האופן שבו ניתן לשפר את המודעות לאבטחת מידע וכיצד להימנע מהונאות דומות בעתיד.

חוקר אבטחת סייבר מברזיל הצליח לחשוף מבצע הונאה בקנה מידה עולמי, כאשר גילה ארנק חומרה מזויף מסוג "Ledger" שנרכש משוק סיני. למרות שהאריזה נראתה אותנטית לחלוטין והמחיר היה זהה למחיר בחנות הרשמית, המכשיר היה מזויף. החוקר זיהה את ההונאה לאחר שכשל בבדיקת האימות באמצעות תוכנת Ledger Live.

חיבור המכשיר לתוכנה הרשמית של Ledger חשף כי מדובר במכשיר לא אמיתי, מה שהוביל את החוקר לפתוח את המכשיר ולבחון את החומרה והתוכנה הפנימית שלו. בתוך המכשיר התגלה שבב שונה מהשבבים המקוריים, וסימני הזיהוי שלו הוסרו כדי להסתיר את מקורו. יתרה מזאת, המכשיר כלל אנטנת WiFi ו-Bluetooth, שאינם קיימים ב-Ledger Nano S+ האמיתי.

ניתוח מעמיק של מבנה השבב והסרת הקודים הצביעו על כך שמדובר בשבב ESP32-S3 עם זיכרון פלאש פנימי. לאחר פענוח התוכנה, התגלה כי ה-PIN והנתונים הרגישים נשמרים בטקסט גלוי ונשלחים לשרתים חיצוניים הנשלטים על ידי התוקפים.

המבצע המלא של ההונאה כולל מכשירים עם שבבי ESP32-S3, אפליקציות טרויאניות לפלטפורמות שונות ושרתים לשליטה ובקרה. כאשר משתמש סורק קוד QR הכלול באריזה, הוא מופנה לאתר משוכפל של Ledger ומוריד אפליקציה מזויפת. האפליקציה לוכדת את משפטי הסיד ומעבירה אותם לשרתים חיצוניים.

החוקר גם פירק את גרסת ה-APK של אפליקציית Ledger Live המזויפת, ומצא התנהגות זדונית נוספת. האפליקציה יירטה פקודות בין המכשיר לאפליקציה, וביקשה הרשאות מיקום כדי לעקוב אחרי יתרות ארנק. הממצאים מוכיחים שהתוקפים מסוגלים לעקוב אחרי פעולות המשתמשים ולקבל גישה למידע רגיש.

חשוב להדגיש שמדובר בהתקפת פישינג ולא בפגם באבטחת ה-Ledger המקורי. החוקר פנה לצוות התמיכה של Ledger עם דוח מפורט והמלצות להמשך המחקר. מקרים דומים דווחו בעבר, אך הפעם מדובר בהונאה מתוחכמת במיוחד המשלבת חומרה מזויפת ותשתית חיצונית רחבה.

סיום הכתבה מזמין את הקוראים לשאול ולהשתתף בדיון על האופן שבו ניתן לשפר את המודעות לאבטחת מידע וכיצד להימנע מהונאות דומות בעתיד.