Penipu Mengirim Surat Palsu Ledger dan Trezor untuk Mencuri Frasa Pemulihan

Penipu menggunakan surat pos palsu dan kode QR untuk menipu pengguna Trezor dan Ledger agar mengungkapkan frase seed dompet mereka.

Serangan phishing kripto kini tidak lagi terbatas pada email dan iklan palsu. Penjahat kini mengirim surat fisik kepada pengguna dompet perangkat keras. Surat tersebut tampak resmi dan mendesak tindakan cepat, bertujuan menipu orang agar memberikan frase pemulihan mereka dan mencuri dana mereka.

Pengguna Trezor dan Ledger Diberi Peringatan tentang Surat Phishing Berbentuk QR Code

Pelaku ancaman mengirim surat kepada pengguna dengan mengaku sebagai Trezor dan Ledger, dua produsen dompet perangkat keras utama. Surat tersebut mengklaim bahwa pengguna harus menyelesaikan “Pemeriksaan Otentikasi” atau “Pemeriksaan Transaksi” yang wajib dilakukan. Mereka memperingatkan bahwa kegagalan melakukannya dapat menyebabkan masalah akses ke dompet. Setiap surat menyertakan kode QR yang mengarahkan penerima ke situs phishing.

Laporan menunjukkan bahwa surat tersebut tampak resmi dan menggunakan logo serta branding perusahaan. Sementara itu, kedua perusahaan pernah mengalami pelanggaran data yang mengekspos detail kontak pelanggan. Informasi pengiriman yang dicuri mungkin telah memungkinkan jangkauan kampanye tersebut.

Ahli keamanan siber Dmitry Smilyanets membagikan salah satu surat palsu ini dalam sebuah postingan di X. Dalam kasus tersebut, penipu mengaku sebagai Trezor dan memberi tahu pengguna untuk menyelesaikan pemeriksaan otentikasi sebelum 15 Februari 2026. Ketidakpatuhan dikatakan akan menyebabkan gangguan akses ke Trezor Suite.

Selain itu, surat tersebut memberitahu pengguna untuk memindai kode QR dengan ponsel mereka dan mengikuti instruksi di sebuah situs web. Mereka menekan pengguna dengan mengatakan bahwa tindakan diperlukan, bahkan jika fitur tersebut sudah diaktifkan. Tujuan penipu adalah agar orang bertindak cepat tanpa berpikir panjang.

Surat serupa juga ditujukan kepada pengguna Ledger. Surat tersebut mengklaim bahwa “Pemeriksaan Transaksi” wajib akan segera datang. Dengan batas waktu yang ditetapkan pada 15 Oktober 2025, pesan tersebut memperingatkan bahwa mengabaikannya dapat menyebabkan masalah transaksi.

Memindai kode QR mengarahkan ke situs palsu yang tampak seperti halaman resmi Trezor atau Ledger. Situs terkait Ledger kemudian offline, sementara situs palsu Trezor tetap online tetapi diidentifikasi sebagai phishing oleh Cloudflare.

Halaman palsu Trezor menampilkan banner peringatan, mendesak pengguna untuk menyelesaikan otentikasi sebelum 15 Februari 2026. Pengecualian untuk model Trezor Safe yang lebih baru yang dibeli setelah 30 November 2025 ditambahkan di halaman tersebut. Klaim tersebut menyiratkan bahwa perangkat tersebut sudah dikonfigurasi sebelumnya.

Lebih jauh lagi, halaman terakhir meminta pengguna memasukkan frase pemulihan dompet mereka. Formulir tersebut memungkinkan 12, 20, atau 24 kata. Untuk mengonfirmasi kepemilikan, situs memerlukan frase tersebut untuk mengaktifkan otentikasi. Pada kenyataannya, memasukkannya akan memberi penipu akses penuh ke dompet.

Keamanan Frase Seed Menjadi Fokus Saat Penipuan Kripto Offline Meningkat

Phishing fisik tetap kurang umum dibandingkan dengan penipuan melalui email. Namun, kampanye pos pernah muncul sebelumnya. Pada tahun 2021, penjahat mengirim perangkat Ledger yang dimodifikasi yang dirancang untuk menangkap frase pemulihan selama proses setup. Gelombang phishing pos lainnya yang menargetkan pengguna Ledger muncul kembali pada bulan April.

Penyedia dompet perangkat keras berulang kali memperingatkan pelanggan agar tidak pernah membagikan frase pemulihan mereka. Tidak ada pembaruan resmi atau pemeriksaan keamanan yang mengharuskan memasukkan frase seed secara online. Perusahaan tidak meminta data tersebut melalui surat, email, atau telepon.

Sementara itu, semakin canggihnya penipuan menunjukkan risiko yang terus berlanjut bagi pemilik kripto. Taktik offline mungkin tampak lebih meyakinkan bagi beberapa pengguna karena surat cetak dapat terasa resmi dan mendesak.

Oleh karena itu, pengguna harus memverifikasi setiap pemberitahuan keamanan langsung melalui situs web resmi. Mengetik alamat web yang dikenal secara manual lebih aman daripada memindai kode QR yang tidak dikenal. Surat yang mencurigakan harus segera dilaporkan ke penyedia dompet dan otoritas keamanan siber.