Шахраї надсилають фальшиві листи Ledger і Trezor для крадіжки фраз насіння

Шахраї використовують підроблені поштові листи та QR-коди, щоб обдурити користувачів Trezor і Ledger і змусити їх розкрити фрази відновлення гаманця.

Фішингові атаки у криптовалютній сфері вже не обмежуються електронною поштою та фальшивими оголошеннями. Злочинці тепер надсилають фізичні листи користувачам апаратних гаманців. Листи виглядають офіційно і закликають до швидких дій, щоб обдурити людей і змусити їх розкрити свої фрази відновлення та викрасти їхні кошти.

Користувачам Trezor і Ledger попереджають про фішингові листи з QR-кодами

Злочинці надсилають листи, імітуючи Trezor і Ledger, двох провідних виробників апаратних гаманців. У листах стверджується, що користувачі повинні пройти обов’язкову “Перевірку автентичності” або “Перевірку транзакції”. Вони попереджають, що невиконання цього може спричинити проблеми з доступом до гаманця. У кожному листі є QR-код, який веде отримувачів на фішингові сайти.

Звіти показують, що листи виглядають офіційно і використовують логотипи та брендинг компаній. Тим часом, обидві компанії зазнали минулих витоків даних, що розкрили контактні дані клієнтів. Вкрадені поштові дані могли допомогти у поширенні кампанії.

Експерт з кібербезпеки Дмитро Смильянець поділився одним із таких фальшивих листів у пості на X. У тому випадку шахраї імітували Trezor і повідомили користувачам, що потрібно пройти перевірку автентичності до 15 лютого 2026 року. Невиконання вимоги нібито призведе до порушення доступу до Trezor Suite.

Крім того, у листі користувачам радили сканувати QR-код своїм телефоном і слідувати інструкціям на сайті. Вони створювали тиск, кажучи, що дія необхідна, навіть якщо функція вже була активована. Мета шахраїв — змусити людей діяти швидко і без роздумів.

Подібний лист був спрямований і на користувачів Ledger. У ньому стверджувалося, що незабаром має з’явитися обов’язкова “Перевірка транзакцій”. З дедлайном 15 жовтня 2025 року, у повідомленні попереджали, що ігнорування може спричинити проблеми з транзакціями.

Сканування QR-кодів приводило до фальшивих сайтів, які виглядали як офіційні сторінки Trezor або Ledger. Сайт, пов’язаний з Ledger, згодом став недоступним, тоді як фальшивий сайт Trezor залишився онлайн, але був визнаний фішинговим Cloudflare.

Фальшива сторінка Trezor показувала попереджувальний банер, закликаючи користувачів пройти автентифікацію до 15 лютого 2026 року. На сторінці додали виняток для деяких нових моделей Trezor Safe, куплених після 30 листопада 2025 року. У повідомленні стверджувалося, що ці пристрої вже попередньо налаштовані.

Крім того, кінцева сторінка просила користувачів ввести фразу відновлення гаманця. Форма дозволяла ввести 12, 20 або 24 слова. Щоб підтвердити право власності, сайт вимагав фразу для активації автентифікації. Насправді введення її давало шахраям повний доступ до гаманця.

Безпека фрази відновлення у фокусі, оскільки офлайн-фішинг зростає

Фізичний фішинг залишається менш поширеним, ніж електронний. Однак поштові кампанії вже мали місце раніше. У 2021 році злочинці надсилали змінені пристрої Ledger, створені для захоплення фраз відновлення під час налаштування. Ще одна хвиля поштового фішингу, спрямована на користувачів Ledger, з’явилася у квітні.

Виробники апаратних гаманців неодноразово попереджали клієнтів ніколи не ділитися фразами відновлення. Жодне легітимне оновлення або перевірка безпеки не вимагає введення фрази онлайн. Компанії не запитують такі дані поштою, електронною поштою або телефоном.

Тим часом, зростаюча складність шахрайських схем свідчить про постійний ризик для власників криптовалют. Офлайн-методи можуть здаватися більш переконливими для деяких користувачів, оскільки надруковані листи можуть виглядати офіційно та терміново.

Тому користувачам слід перевіряти будь-які повідомлення про безпеку безпосередньо через офіційні сайти. Вручну вводити відомі веб-адреси безпечніше, ніж сканувати невідомі QR-коди. Підозрілі листи слід негайно повідомляти постачальникам гаманців і органам кібербезпеки.