لماذا مستخدمو Ledger تحديداً

حدث الاختراق الأصلي في يوليو 2020. كشف نقطة نهاية CDN من Shopify مُهيّأة بشكل خاطئ قاعدة بيانات التجارة الإلكترونية للعملاء الخاصة بـ Ledger، وسحب المهاجمون نحو 270,000 سجل عميل كامل بالإضافة إلى نحو مليون عنوان بريد إلكتروني. الحقول المسرّبة لم تكن مجرد رسائل بريد إلكتروني. شملت الأسماء الأولى والأخيرة والعناوين البريدية وأرقام الهواتف. بعد ستة أشهر، أُفرغت مجموعة البيانات الكاملة علناً على منتدى اختراق، مما يعني أن أي محتال لديه مهارات Google أساسية تمكّن من الوصول المجاني إليها منذ 2020.

أنشأ هذا الاختراق قائمة هدف دائمة. كل شخص في ذلك الملف معروف بامتلاكه محفظة أجهزة. معروف بأنه أنفق 80 إلى 400 دولار على جهاز. وبالتالي معروف بأنه يحتمل بشدة امتلاك بعض مقادير العملات المشفرة. من منظور اقتصاديات التصيد الاحتيالي، هذه هي أعلى قائمة هدف جودة في الصناعة. التصيد العشوائي يحصل على معدلات استجابة تكاد تكون صفراً. التصيد في قائمة يمتلك فيها كل شخص عملات مشفرة يحصل على معدلات استجابة تعمل فعلاً.

قدّر Chainalysis والمتتبعون المجتمعيون الخسائر التراكمية من التصيد الاحتيالي بطابع Ledger بأكثر من 200 مليون دولار منذ 2020، مع حوادث فردية تتراوح من بضعة آلاف دولار إلى محافظ مستنزفة بأكثر من 2 مليون. تدور الحملات بين القوالب كل أشهر قليلة لكن قائمة الهدف لا تتغير أبداً. إذا كنت عليها في 2020، فأنت لا تزال عليها في 2026.

قالب البريد الإلكتروني الحالي لعام 2026

تبدو موجة رسائل البريد الإلكتروني المزيفة لـ Ledger في 2026 أنظف من دفعات 2021 و2022. الإنجليزية أفضل، وعرض HTML يطابق بالبكسل قوالب Ledger الحقيقية، وتحولت إطار الإلحاح من "إشعار اختراق بيانات" إلى "التحقق من البرنامج الثابت الروتيني". إليك الشكل المحجوب لنموذج نموذجي متداول حالياً:

مثال محجوب (لا تنسخ):
  • من: Ledger Support <support@ledger-verify[.]com>
  • الموضوع: إجراء مطلوب: تحقق من جهاز Ledger الخاص بك قبل 30 أبريل
  • افتتاح النص: "كجزء من تدقيقنا الأمني لأبريل، يجب على جميع أجهزة Ledger Nano S Plus وNano X إكمال تحقق واحد من البرنامج الثابت. ستفقد الأجهزة غير المتحقق منها بحلول 30 أبريل الوصول إلى Ledger Live."
  • منتصف النص: "تتطلب ثغرة أمنية حديثة (CVE-2026-XXXX) منا إعادة مزامنة معلومات الاسترداد الخاصة بك. يستغرق هذا أقل من دقيقتين."
  • زر CTA: "تحقق من جهازي" مرتبط بـ ledger-live-update[.]com أو ledger-start[.]io
  • التذييل: عنوان Ledger الحقيقي في باريس، ورابط إلغاء الاشتراك يبدو حقيقياً، ورقم دعم يبدو حقيقياً.

الاحترافية هي الفخ. كل شيء بصري صحيح. الشعارات والطباعة وتذييل حقوق النشر وحتى رابط إلغاء الاشتراك وفق CAN-SPAM. الأشياء الخاطئة الوحيدة هي نطاق المرسل وعنوان URL الوجهة، وكلاهما مصمم ليبدو وكأنه ينتمي إلى هناك عند النظرة العابرة. شخص يتحقق من البريد الإلكتروني على الهاتف الساعة السابعة صباحاً لا يكاد يكون لديه فرصة لاكتشاف الفرق بدون تحذير على جانب المتصفح.

الأربع علامات التحذيرية في كل بريد إلكتروني Ledger مزيف

بغض النظر عن كيفية تطور القالب، تظهر هذه الإشارات الأربع في كل واحد مزيف. إذا رأيت أياً منها، فالبريد الإلكتروني هو تصيد احتيالي، توقف عند ذلك.

  1. نطاق المرسل هو أي شيء غير @ledger.com أو @ledger.fr. بريد Ledger الشرعي يأتي دائماً من أحد هذين النطاقين. لا ledger-support.com، ولا ledger-verify.com، ولا support.ledger.io، ولا noreply@ledger-security.net. إذا كان النطاق يحتوي على أي لاحقة أو بادئة أو شرطة أو TLD بديل مرفق بكلمة "ledger"، فهو ليس Ledger.
  2. إلحاح حول "التحقق من الجهاز" أو "تحديث البرنامج الثابت عبر البريد الإلكتروني". تحديثات برنامج Ledger الثابت تحدث داخل تطبيق Ledger Live لسطح المكتب أو الجوال، بجدولك الخاص، مع عدم مشاركة البريد الإلكتروني إطلاقاً. Ledger لا ترسل لك بريداً إلكترونياً بموعد نهائي للتحديث. أي رسالة تقول "تحقق قبل [تاريخ] أو ستفقد الوصول" هي إلحاح مصطنع مصمم لتجاوز حكمك.
  3. وجهة الرابط هي أي شيء غير ledger.com أو shop.ledger.com. مرّر مؤشر الفأرة فوق الزر قبل النقر. انظر إلى عنوان URL الفعلي في شريط الحالة. إذا لم يكن ledger.com أو shop.ledger.com، أغلق البريد الإلكتروني. تشمل النظائر الشائعة: ledger-live-update وledgerhq-verify وledger-start وledger-com-auth وعشرات المتغيرات التي تبادل الحروف أو تضيف شرطات.
  4. يطلب منك التدفق في النهاية "التحقق" أو "إدخال" عبارة الاسترداد المكونة من 24 كلمة. هذه الطلقة القاضية. الهدف بأكمله من البريد الإلكتروني هو توجيهك إلى صفحة تطلب عبارة البذرة الخاصة بك. بغض النظر عن مدى تطور صفحة الهبوط، بمجرد أن تطلب 12 أو 24 كلمة، أنت تُسرق.

صفحة "تحديث Ledger Live" المزيفة التي تسرق بذرتك

إذا نقرت على الرابط، ستهبط على نسخة شبه مثالية من شاشة الإعداد الأولي لـ Ledger Live. العلامة التجارية دقيقة. رسم الجهاز المتحرك هو الحقيقي، مسحوب من CDN Ledger ذاته. شريط URL يعرض ledger-live-update.com أو ما شابه، والذي للمستخدم المتعب يقرأ كـ "آه، هذه صفحة التحديث".

تأخذك الصفحة عبر خطوتين أو ثلاث من "التحقق" المزيف. قد تطلب منك توصيل جهازك (لبناء الثقة). قد تعرض دوار تحميل مزيف مع "جاري التحقق من توقيع البرنامج الثابت...". ثم تأتي الحمولة الحقيقية: شاشة تقول إن جهازك يحتاج إلى "إعادة المزامنة" مع Ledger Live وتطلب منك إدخال كلمات الاسترداد الـ 24 للمتابعة.

تطبيق Ledger Live الحقيقي لا يطلب عبارة الاسترداد أبداً. لا أثناء الإعداد، ولا أثناء التحديثات، ولا أثناء المعاملات، ولا أثناء أي شيء على الإطلاق. عبارات الاسترداد تُدخل على الجهاز المادي نفسه أثناء الإعداد الأولي، ومرة واحدة. هذه هي المرة الوحيدة التي يجب فيها كتابة تلك الكلمات في أي مكان.

في اللحظة التي تُدخل فيها كلماتك الـ 24 في تلك الصفحة المزيفة، يشتق سكريبت مستنزف على خادم المهاجم كل عنوان محفظة من بذرتك ويكنسها بشكل متوازٍ. Bitcoin وEthereum وSolana وPolygon وArbitrum وBase وكل سلسلة تتحكم فيها بذرتك. يكتمل الاستنزاف عادةً في غضون 30 إلى 90 ثانية. إذا أدركت في منتصف الإدخال وتوقفت، افترض أن البذرة الجزئية موجودة بالفعل في أيديهم لأن الصفحة تدفق كل كلمة بينما تكتبها.

لماذا لن تُرسل لك Ledger بريداً إلكترونياً يطلب بذرتك أبداً

هذه هي القاعدة الواحدة التي تقتل كل محاولة تصيد احتيالي لـ Ledger عند المصدر. Ledger الشركة لا تعرف عبارة الاسترداد الخاصة بك ولا يمكنها معرفتها. الكلمات الـ 24 تُنشأ بواسطة شريحة العنصر الآمن داخل جهازك المادي أثناء الإعداد الأول. تُعرض مرة واحدة على شاشة الجهاز. لا تُرسل أبداً إلى خوادم Ledger، ولا تُنسخ احتياطياً على السحابة، ولا تُربط بحسابك، ولا تُسجّل في أي مكان.

هذا هو نموذج الأمان بأكمله لمحفظة الأجهزة. البذرة تعيش على الشريحة، والعمليات تُوقّع على الشريحة، والعالم الخارجي بما في ذلك Ledger نفسها لا يرى البذرة أبداً. لا يوجد وكيل دعم يمكنه طلبها "لمساعدتك". لا يوجد نظام آلي يحتاجها "للتحقق من جهازك". لا يوجد تحديث برنامج ثابت يتطلبها "لإعادة المزامنة".

إذا طلب منك أي شيء، في أي مكان، في أي وقت، كتابة عبارة الاسترداد الخاصة بك في جهاز كمبيوتر أو هاتف أو موقع أو رد بريد إلكتروني أو دردشة أو تذكرة دعم أو أي نموذج من أي نوع، فهو مهاجم. هذه القاعدة لا استثناءات لها.

ما يجب فعله إذا أدخلت بذرتك بالفعل

إذا كنت قد كتبت كلماتك الـ 24 في صفحة ويب بالفعل، افترض الأسوأ وتحرك بسرعة. كل دقيقة مهمة لأن أدوات الاستنزاف آلية وقد تتحرك أموالك بالفعل.

  1. افترض أن الجهاز مخترق بالكامل. البذرة خرجت. الجهاز نفسه أجهزة جيدة، لكن السر الذي يحمله لم يعد سراً. لا ترسل أموالاً جديدة إلى أي عنوان مشتق من تلك البذرة.
  2. انقل جميع الأموال فوراً إلى محفظة جديدة ببذرة جديدة. استخدم جهازاً مختلفاً معروفاً بأنه نظيف، أو أنشئ Ledger جديداً بكلمات 24 جديدة تماماً. تسابق مع أداة الاستنزاف. أرسل كل شيء من العناوين المخترقة إلى الجديدة. ابدأ بأعلى سلسلة قيمة أولاً.
  3. أعد ضبط مصنع الجهاز المخترق وأنشئ بذرة جديدة تماماً. بمجرد نقل الأموال، امسح الجهاز القديم عبر الإعدادات وابدأ الإعداد الجديد من الصفر. يجب ألا تلمس البذرة الجديدة الإنترنت أبداً.
  4. إذا كانت الأموال قد استُنزفت بالفعل، اتبع دليل إنقاذ عبارة الاسترداد المسروقة. يغطي تتبع Etherscan والإبلاغ إلى Chainalysis وطلبات تجميد البورصة وما هي احتمالات الاسترداد الواقعية.
  5. تحقق من كل سلسلة، ليس Ethereum فقط. يستنزف المحتالون في كل مكان. ابحث في Bitcoin وEthereum وSolana وPolygon وArbitrum وOptimism وBase وBNB Chain وAvalanche وCosmos وأي Layer 2 استخدمته من قبل. المحفظة التي تبدو فارغة على Etherscan قد لا تزال تحتوي على أموال ذات معنى على سلسلة نسيتها.

حماية نفسك من التصيد الاحتيالي الموجّه لـ Ledger في المستقبل

لأن بريدك الإلكتروني على القائمة المسرّبة بشكل دائم، لن يتوقف التصيد الاحتيالي. يجب أن تكون استراتيجية دفاعك سلوكية، لا تفاعلية.

  • ثبّت Ledger Live من ledger.com مباشرة فقط. ليس من نتيجة محرك بحث، ليس من إعلان، ليس من رابط في بريد إلكتروني. الإعلانات في محركات البحث عن "تنزيل ledger live" يشتريها محتالون بشكل روتيني وأحياناً تكون النتيجة الأولى مزيفة.
  • احتفظ بإشارة مرجعية لـ ledger.com/start واستخدمها في كل مرة. الذاكرة العضلية تتفوق على اليقظة.
  • أوقف تحميل الصور التلقائي في عميل البريد الإلكتروني الخاص بك. رسائل التصيد تستخدم بكسلات التتبع لمعرفة العناوين النشطة على القائمة المسرّبة.
  • استخدم اسماً مستعاراً للبريد الإلكتروني مخصصاً لخدمات العملات المشفرة. Apple Hide My Email وFirefox Relay وSimpleLogin وAddy.io جميعها تعمل. لا تُفصح عن بريدك الإلكتروني الأساسي للبورصات والمحافظ والخدمات على السلسلة.
  • لكل بريد إلكتروني لـ Ledger: تحقق من المرسل، لا تنقر، افتح ledger.com يدوياً. إذا كان الادعاء في البريد الإلكتروني حقيقياً، ستجد الإشعار ذاته في تطبيق Ledger Live الخاص بك أو على المدونة الرسمية.
  • ثبّت درعاً تصيد على مستوى المتصفح. SafeBrowz يتحقق من كل صفحة تزورها مقابل أكثر من 500 علامة تجارية معروفة مُنتحلة بما في ذلك Ledger، بالإضافة إلى تحليل محتوى الذكاء الاصطناعي بأكثر من 100 لغة الذي يلتقط متغيرات Ledger Live المزيفة الجديدة في اللحظة التي تُطلق فيها، وليس بعد أشهر عندما تصل إلى قوائم الحظر الثابتة.

اختراق قاعدة البيانات 2020: ما يجب فعله إذا كان بريدك الإلكتروني عليها

إذا اشتريت جهاز Ledger قبل يوليو 2020، فبياناتك موجودة على الأرجح في الملف العام. اعتبر هذا حالة دائمة، لا شيئاً يمكن معالجته.

  • تحقق من haveibeenpwned.com. اختراق Ledger مُفهرَس هناك. أدخل البريد الإلكتروني الذي استخدمته عند دفع Ledger للتأكيد.
  • فكّر في الانتقال إلى اسم مستعار بريد إلكتروني جديد لجميع خدمات العملات المشفرة. العنوان القديم محترق. حتى إذا نظّفت صندوق البريد الوارد اليوم، سيستمر التصيد إلى الأبد لأن عنوانك موجود في ملف تم نسخه آلاف المرات.
  • توقع محاولات تصيد إلى أجل غير مسمى. لا يوجد حجم "وضع علامة كبريد مزعج" سيوقف الفيضان في نهاية المطاف. يؤجر المحتالون المختلفون القائمة من بعضهم البعض. أنشئ مرشحات تُعزل أي رسالة تحتوي على "Ledger" في مجلد تراجعه يدوياً.
  • اعتبر كل بريد إلكتروني بعلامة Ledger عدائياً بشكل افتراضي. حتى لو بدا حقيقياً. حتى لو بدا المرسل صحيحاً. حتى لو تزامن التوقيت مع شيء كنت تتوقعه. الاستجابة الآمنة لأي بريد إلكتروني من Ledger هي دائماً: أغلق البريد الإلكتروني، افتح المتصفح، اكتب ledger.com، تحقق من هناك.

للإطار الأشمل حول اكتشاف المواقع المزيفة عبر أي علامة تجارية، ليس Ledger فقط، راجع دليلنا حول كيفية معرفة ما إذا كان موقع ويب احتيالياً.