Os golpistas enviam cartas falsas do Ledger e Trezor para roubar frases-semente

Os golpistas usam cartas postais falsas e códigos QR para enganar utilizadores de Trezor e Ledger, levando-os a revelar frases-semente de carteiras.

Os ataques de phishing em criptomoedas já não se limitam a emails e anúncios falsos. Os criminosos estão agora a enviar cartas físicas aos utilizadores de carteiras de hardware. As cartas parecem oficiais e incentivam uma ação rápida, com o objetivo de enganar as pessoas para que revelem as suas frases de recuperação e roubem os seus fundos.

Utilizadores de Trezor e Ledger alertados sobre cartas de phishing com QR code

Os agentes maliciosos estão a enviar cartas aos utilizadores, fingindo ser a Trezor e a Ledger, dois dos principais fabricantes de carteiras de hardware. As cartas afirmam que os utilizadores devem completar uma “Verificação de Autenticação” ou “Verificação de Transação” obrigatória. A advertência é de que a não realização pode causar problemas de acesso à carteira. Cada carta inclui um código QR que leva os destinatários a sites de phishing.

Relatórios mostram que as cartas parecem oficiais e usam os logótipos e a marca da empresa. Entretanto, ambas as empresas sofreram brechas de dados no passado que expuseram detalhes de contacto dos clientes. As informações de envio roubadas podem ter permitido alcançar campanhas maliciosas.

O especialista em cibersegurança Dmitry Smilyanets partilhou uma dessas cartas falsas numa publicação no X. Nesse caso, os golpistas fingiram ser a Trezor e disseram aos utilizadores para completar uma verificação de autenticação até 15 de fevereiro de 2026. A não conformidade supostamente significava problemas de acesso ao Trezor Suite.

Além disso, a carta dizia aos utilizadores para escanear um código QR com o telemóvel e seguir as instruções num site. Aumentava a pressão ao afirmar que era necessária uma ação, mesmo que a funcionalidade já estivesse ativada. O objetivo dos golpistas era fazer com que as pessoas agissem rapidamente, sem pensar.

Uma carta semelhante foi direcionada aos utilizadores da Ledger. A mensagem afirmava que uma “Verificação de Transação” obrigatória estaria a chegar em breve. Com o prazo definido para 15 de outubro de 2025, o aviso alertava que ignorar a mensagem poderia causar problemas nas transações.

Ao escanear os códigos QR, os utilizadores eram levados a sites falsos que pareciam páginas oficiais da Trezor ou Ledger. O site relacionado com a Ledger posteriormente ficou offline, enquanto o site falso da Trezor permaneceu online, mas foi identificado como phishing pela Cloudflare.

A página falsa da Trezor exibia um banner de aviso, solicitando aos utilizadores que completassem a autenticação até 15 de fevereiro de 2026. Foi adicionada uma exceção para certos modelos mais recentes do Trezor Safe adquiridos após 30 de novembro de 2025, sugerindo que esses dispositivos estavam pré-configurados.

Além disso, a página final pedia aos utilizadores que inserissem a frase-semente de recuperação da carteira. O formulário permitia 12, 20 ou 24 palavras. Para confirmar a propriedade, o site exigia uma frase para ativar a autenticação. Na realidade, ao inseri-la, os golpistas teriam acesso total à carteira.

Segurança da Frase-semente em Foco com o Crescente Aumento de Golpes Offline

O phishing físico continua a ser menos comum do que os golpes por email. No entanto, campanhas postais já ocorreram anteriormente. Em 2021, criminosos enviaram dispositivos Ledger modificados, projetados para capturar frases de recuperação durante a configuração. Outra vaga de phishing postal direcionada aos utilizadores de Ledger surgiu em abril.

Os fornecedores de carteiras de hardware alertam repetidamente os clientes para nunca partilharem as frases de recuperação. Nenhuma atualização legítima ou verificação de segurança exige a inserção de uma frase-semente online. As empresas não solicitam esses dados por correio, email ou telefone.

Entretanto, a crescente sofisticação dos golpes indica que o risco para os detentores de criptomoedas persiste. Táticas offline podem parecer mais credíveis para alguns utilizadores, pois as cartas impressas podem parecer oficiais e urgentes.

Por isso, os utilizadores devem verificar quaisquer avisos de segurança diretamente nos sites oficiais. Digitar manualmente endereços web conhecidos é mais seguro do que escanear QR codes desconhecidos. Cartas suspeitas devem ser imediatamente reportadas aos fornecedores de carteiras e às autoridades de cibersegurança.