المحتالون يرسلون رسائل مزيفة من Ledger و Trezor لسرقة عبارات الاستيثاق

يقوم المحتالون باستخدام رسائل بريدية مزيفة ورموز QR لخداع مستخدمي تريزور وليدجر للكشف عن عبارات استعادة المحفظة.

لم تعد هجمات التصيد الاحتيالي في العملات الرقمية تقتصر على الرسائل الإلكترونية والإعلانات المزيفة. إذ يرسل المجرمون الآن رسائل مادية لمستخدمي المحافظ الصلبة. تبدو الرسائل رسمية وتحث على اتخاذ إجراء سريع، بهدف خداع الأشخاص للكشف عن عبارات استردادهم وسرقة أموالهم.

تحذيرات لمستخدمي تريزور وليدجر من رسائل التصيد عبر رموز QR

يقوم المهاجمون بإرسال رسائل إلى المستخدمين تنتحال شخصية تريزور وليدجر، وهما من أكبر مصنعي المحافظ الصلبة. تدعي الرسائل أن المستخدمين يجب عليهم إكمال “فحص المصادقة” أو “فحص المعاملة” المطلوب. وتحذر من أن عدم القيام بذلك قد يسبب مشاكل في الوصول إلى المحفظة. تتضمن كل رسالة رمز QR يقود المستلمين إلى مواقع تصيد احتيالي.

تشير التقارير إلى أن الرسائل تبدو رسمية وتستخدم شعارات وعلامات تجارية للشركات. وفي الوقت نفسه، تعرضت كلتا الشركتين لانتهاكات سابقة للبيانات أدت إلى كشف تفاصيل اتصال العملاء. وقد مكنت معلومات البريد المسروقة من توسيع نطاق الحملة.

شارك خبير الأمن السيبراني ديمتري سميليانيتس واحدة من هذه الرسائل المزيفة عبر منشور على منصة X. وفي تلك الحالة، انتحل المحتالون شخصية تريزور وأخبروا المستخدمين بضرورة إكمال فحص مصادقة بحلول 15 فبراير 2026. ويُفترض أن عدم الامتثال يعني اضطراب في الوصول إلى تريزور سويته.

علاوة على ذلك، أخبرت الرسالة المستخدمين بمسح رمز QR باستخدام هواتفهم واتباع التعليمات على موقع إلكتروني. وأضافت ضغطًا من خلال القول إن الإجراء مطلوب، حتى لو كانت الميزة مفعلة بالفعل. كان هدف المحتالين هو دفع الناس لاتخاذ إجراءات بسرعة دون تفكير.

وُجهت رسالة مماثلة لمستخدمي ليدجر. زعمت أن “فحص المعاملة” الإجباري سيأتي قريبًا. مع تحديد الموعد النهائي في 15 أكتوبر 2025، حذرت الرسالة من أن تجاهله قد يسبب مشاكل في المعاملات.

أدى مسح رموز QR إلى مواقع إلكترونية مزيفة تشبه صفحات تريزور أو ليدجر الرسمية. ثم توقف الموقع المرتبط بليدجر عن العمل، بينما بقي الموقع المزيف لتريزور متصلًا لكنه تم تصنيفه على أنه تصيد احتيالي بواسطة Cloudflare.

عرضت صفحة تريزور المزيفة لافتة تحذيرية، تحث المستخدمين على إكمال المصادقة بحلول 15 فبراير 2026. وأُضيف استثناء لبعض نماذج تريزور سيف الجديدة التي تم شراؤها بعد 30 نوفمبر 2025، على الصفحة. وأشارت الادعاءات إلى أن تلك الأجهزة كانت مهيأة مسبقًا.

علاوة على ذلك، طلبت الصفحة النهائية من المستخدمين إدخال عبارة استعادة المحفظة. سمحت النموذج بإدخال 12 أو 20 أو 24 كلمة. ولتأكيد الملكية، تطلب الموقع عبارة لتفعيل المصادقة. وفي الواقع، فإن إدخالها يمنح المحتالين وصولاً كاملاً إلى المحفظة.

سلامة عبارة المفتاح في التركيز مع تصاعد عمليات الاحتيال غير المتصلة بالإنترنت

لا تزال هجمات التصيد المادي أقل شيوعًا من عمليات الاحتيال عبر البريد الإلكتروني. ومع ذلك، ظهرت حملات بريدية من قبل. ففي عام 2021، أرسل المجرمون أجهزة ليدجر معدلة بهدف التقاط عبارات الاسترداد أثناء الإعداد. وظهرت موجة أخرى من التصيد عبر البريد تستهدف مستخدمي ليدجر في أبريل.

يكرر مزودو المحافظ الصلبة تحذيراتهم للعملاء بعدم مشاركة عبارات الاسترداد أبدًا. لا يتطلب أي تحديث شرعي أو فحص أمني إدخال عبارة المفتاح عبر الإنترنت. ولا تطلب الشركات مثل هذه البيانات عبر البريد أو البريد الإلكتروني أو الهاتف.

وفي الوقت نفسه، تشير زيادة تطور عمليات الاحتيال إلى وجود خطر مستمر على حاملي العملات الرقمية. قد تبدو الأساليب غير المتصلة أكثر مصداقية لبعض المستخدمين، حيث يمكن أن تبدو الرسائل المطبوعة رسمية وملحة.

لذلك، ينبغي على المستخدمين التحقق من أي إشعارات أمنية مباشرة من خلال المواقع الرسمية. إن كتابة عناوين الويب المعروفة يدويًا أكثر أمانًا من مسح رموز QR غير معروفة. ويجب الإبلاغ عن الرسائل المشبوهة إلى مزودي المحافظ والسلطات المختصة في مجال الأمن السيبراني على الفور.