第三方資料外洩如何引爆針對 Ledger 使用者的釣魚攻擊

2020 年底，硬體錢包大廠 Ledger 遭遇一場前所未有的資安風暴。雖然 Ledger 官方強調其內部系統並未被入侵，但數十萬名客戶的個人資訊卻透過第三方供應商外洩，進而引發大規模釣魚攻擊。這起事件不僅凸顯供應鏈安全的脆弱性，也讓全球加密貨幣持有者重新審視「冷錢包」是否真的萬無一失。

資料外洩的源頭：第三方供應商成破口

Ledger 在事件爆發後迅速澄清，其核心加密金鑰與裝置韌體均未受影響。然而，負責處理部分客戶訂單與物流的第三方行銷公司 SaleCycle 卻因配置錯誤，導致包含姓名、地址、電子郵件甚至電話號碼的客戶資料庫遭公開存取。根據 Ledger 後續公告，約有 29 萬筆訂單資訊因此外流。

「我們的產品本身是安全的，但客戶資料的保護責任不該只落在終端使用者身上。」—— Ledger 官方聲明

釣魚攻擊手法升級：從詐騙信到「假客服」

外洩資料很快流入地下論壇，詐騙集團隨即展開精準釣魚行動。與傳統廣撒網式詐騙不同，這次攻擊具備高度個人化特徵：

• 偽造官方郵件：使用與 Ledger 官方極為相似的寄件地址，內文直接引用受害者真實姓名與訂單編號。
• 假冒客服電話：詐騙者主動致電，聲稱「協助恢復受損裝置」，誘導用戶下載惡意軟體或輸入助記詞。
• 社交工程網站：建立仿冒 Ledger 官網的釣魚頁面，要求用戶「驗證身分」以領取補償，實則竊取私鑰。

為何助記詞會被盜？

關鍵在於許多用戶誤信「Ledger 需要遠端協助」的說法，在未察覺的情況下，於釣魚網站或遠端桌面軟體中輸入了 24 個助記詞。一旦助記詞外洩，帳戶內資產幾乎無法追回。

如何防範類似攻擊？專家建議三步驟

資安專家指出，即使使用硬體錢包，仍需保持高度警覺。以下是具體防護措施：

• 永不透露助記詞：Ledger 或任何正規公司絕不會以任何形式索取助記詞。
• 啟用雙重驗證（2FA）：為 Ledger Live 帳戶及電子郵件啟用 2FA，增加攻擊難度。
• 定期檢查裝置韌體：僅透過官方 Ledger Live 軟體更新韌體，避免使用來路不明的 USB 隨身碟。

若已收到可疑訊息怎麼辦？

請立即刪除郵件、勿點擊任何連結，並直接前往 Ledger 官網 查閱最新安全公告。若懷疑裝置已遭入侵，應更換新硬體錢包並轉移資產至新地址。

常見問題解答

我的 Ledger 錢包還安全嗎？

只要您未曾將助記詞輸入任何網站、應用程式或提供給他人，且裝置未經非官方管道維修，您的資產仍是安全的。硬體錢包的離線設計本質上能有效隔絕網路攻擊。

如何確認自己是否在資料外洩名單中？

Ledger 已主動寄發通知郵件給受影響用戶。若您在 2020 年 6 月至 12 月間曾向 Ledger 官網下單，建議檢查垃圾郵件匣，或直接登入 Ledger 官方帳號查看安全提醒。

釣魚郵件有哪些明顯特徵？

常見破綻包括：寄件者信箱非 @ledger.com、郵件內含短網址（如 bit.ly）、要求「立即點擊驗證」、或聲稱「帳戶異常需緊急處理」。官方從不會以緊迫語氣催促操作。

如果已經點擊釣魚連結該怎麼辦？

請立即斷開網路連線，勿輸入任何敏感資訊。若已輸入助記詞，應視為私鑰已外洩，儘速將資產轉移至全新硬體錢包生成的新地址。

未來購買硬體錢包要注意什麼？

務必從官方網站或授權經銷商購買，避免二手市場。同時，首次設定時務必親手記錄助記詞，並存放於防火防水的實體保險箱，切勿拍照或存於雲端。