> **导语**:你以为骗子只会发邮件、发短信、打电话?图样了。最近有个Ledger用户收到了一封信——物理意义上的、通过邮局寄的那种。这事儿告诉我们:数据泄露的坑,能埋你五年。
—
## 一封来自骗子的”手写信”
最近,一位意大利的Ledger用户收到了人生中第一封”来自骗子的手写信”。不是电子邮件,是真的纸质信件,上面印着Ledger的logo,内含一个二维码,扫进去就是钓鱼网站。
用户本人在推特上原话说的是:
> “**@Ledger,我刚在意大利的家里收到了这玩意儿。你们到底是怎么把用户家庭地址泄露给骗子的?这已经不是钓鱼邮件的范畴了,人们的安全真的受到威胁。**”
好家伙,这已经不是”钓鱼邮件”了,这是”**钓鱼邮局**”。
—
## Ledger的两次”翻车”
这地址哪来的?还得从2020年说起。
**第一次**:2020年7月,Ledger发生大规模数据泄露,约27万名客户的姓名、地址、电话号码、电子邮件地址被一锅端。
**第二次**:同年12月,又来了一次,涉及2.7万用户,这次主要是邮箱和邮寄地址。
讽刺的是,Ledger当年信誓旦旦承诺”会保护用户数据”,结果五年过去了,这数据还在黑市里流通,骗子直接拿来做”实体营销”。
有安全研究人员还顺手分析了一下骗子搭建的钓鱼网站,发现域名是`.gl`的,骗子还在持续迭代——看来这波”邮政诈骗”不是一个人干的,是一个团队在搞。
—
## 骗子的ROI怎么算?
这事有意思的地方在于——**骗子居然开始算印刷成本了**。
你想啊,寄一封实体信件:
– 印刷费:几块钱
– 邮费:几块钱
– 人工:几块钱
– **总成本:可能也就十几二十块**
但凡有一个人扫码付款,骗子就回本了。这年头,搞网络钓鱼的被”反钓鱼”教育得越来越卷,开始走”传统行业”路线了。
怪不得有网友调侃:”**骗子现在也讲究降本增效,从网络诈骗升级成邮政诈骗了。**”
—
## 紫队点评
从紫队视角看这件事,有两点想说:
**第一,数据泄露的”保质期”比我们想象的长得多。** 2020年的数据,2025年还在被用。企业在出事后的”公关式承诺”到底有多少是真心整改,有多少是应付了事?从这件事看,Ledger的整改效果可能要打个问号。
**第二,骗子的”用户体验”在升级。** 实体信件比邮件更容易让人放松警惕——毕竟大多数人觉得”垃圾邮件”满坑满谷,但”垃圾平信”还是新鲜事儿。这种降维打击,对那些自以为”小心就不会被骗”的人来说,是一记响亮的耳光。
—
**图片版权 华盟网**
暂无评论内容