Мошенники рассылают поддельные письма Ledger и Trezor, чтобы украсть seed-фразы

Мошенники используют поддельные почтовые письма и QR-коды, чтобы обмануть пользователей Trezor и Ledger, заставив их раскрывать фразы для сумелька.

Криптофишинговые атаки больше не ограничиваются электронной почтой и фейковой рекламой. Преступники теперь рассылают физические письма пользователям аппаратных кошельков. Почта выглядит официально и призывает к быстрым действиям, стремясь обмануть людей, заставив их выдать свои фразы для возврата и украсть их средства.

Пользователи Trezor и Ledger предупреждены из-за фишинговых писем с QR-кодом

Злоумышленники рассылают письма пользователям, выдающим себя за Trezor и Ledger, двух крупных производителей аппаратных кошельков. В письмах утверждается, что пользователи должны пройти обязательную «проверку аутентификации» или «проверку транзакции». Они предупреждают, что если этого не сделать, это может привести к проблемам с доступом к кошельку. Каждое письмо содержит QR-код, который ведёт получателей на фишинговые сайты.

Отчёты показывают, что письма выглядят официально и используют логотипы и брендинг компании. Тем временем обе компании ранее сталкивались с утечками данных, раскрывающими контактные данные клиентов. Украденные почтовые данные могли позволить охвату кампании.

Эксперт по кибербезопасности Дмитрий Смилянец поделился одним из этих поддельных писем в посте на X. В этом случае мошенники выдавали себя за Trezor и посоветовали пользователям пройти проверку аутентификации до 15 февраля 2026 года. Несоблюдение якобы означало нарушение доступа к Trezor Suite.

Кроме того, в письме просили пользователей сканировать QR-код с телефона и следовать инструкциям на сайте. Это добавляло давления, заявляя, что требуется действие, даже если функция уже активирована. Целью мошенников было заставить людей действовать быстро, не задумываясь.

Похожее письмо было адресовано пользователям Ledger. В компании утверждалось, что скоро будет обязательный «Чек по транзакции». Крайний срок назначен на 15 октября 2025 года, и в сообщении предупреждалось, что игнорирование может привести к проблемам с транзакциями.

Сканирование QR-кодов приводило к появлению фейковых сайтов, похожих на официальные страницы Trezor или Ledger. Сайт, связанный с реестром, позже был отключён, а фейковый сайт Trezor остался онлайн, но был идентифицирован Cloudflare как фишинг.

На фейковой странице Trezor появился предупреждающий баннер, призывающий пользователей завершить аутентификацию до 15 февраля 2026 года. На странице было добавлено исключение для некоторых новых моделей Trezor Safe, приобретённых после 30 ноября 2025 года. В заявлении предполагалось, что эти устройства были заранее настроены.

Далее, на последней странице пользователям предлагалось ввести фразу для восстановления кошелька. Форма позволяла содержать 12, 20 или 24 слова. Для подтверждения владения сайт требовал фразу для активации аутентификации. На самом деле, ввод в него даст мошенникам полный доступ к кошельку.

Безопасность seed phrase в центре внимания на фоне роста офлайн-криптомошенничества

Физический фишинг остаётся менее распространённым, чем мошенничество с электронной почтой. Однако почтовые кампании уже появлялись раньше. В 2021 году преступники отправляли модифицированные устройства Ledger, предназначенные для захвата восстановительных фраз во время настройки. В апреле появилась новая волна почтового фишинга, направленного против пользователей Ledger.

Поставщики аппаратных кошельков неоднократно предупреждают клиентов никогда не делиться фразами восстановления. Никакое легитимное обновление или проверка безопасности не требует ввода seed-фразы в интернете. Компании не запрашивают такие данные по почте, электронной почте или телефону.

Тем временем растущая сложность мошенничества сигнализирует о продолжающемся риске для держателей криптовалюты. Офлайн-тактики могут показаться некоторым пользователям более убедительными, поскольку распечатанные письма могут казаться официальными и срочными.

Поэтому пользователям следует проверять любые уведомления о безопасности напрямую через официальные сайты. Вручную вводить известные веб-адреса безопаснее, чем сканировать неизвестные QR-коды. Подозрительные письма следует немедленно сообщать поставщикам кошельков и службам кибербезопасности.