脅威アクターがTrezorとLedgerを装った物理的な手紙を送り、暗号通貨ハードウェアウォレットのユーザーをだましてリカバリーフレーズを明らかにさせようとしている。手紙は、ウォレットアクセスを失わないために必須のチェックが必要だと主張して緊急性を煽る。含まれているQRコードをスキャンした被害者は、ウォレット情報を盗むフィッシングサイトに誘導される。
サイバー犯罪者らが、TrezorとLedgerのハードウェアウォレットユーザーを狙ったスネイルメールを使ったフィッシングキャンペーンを開始した。偽の公式レターヘッドに印刷された手紙は、両社のセキュリティおよびコンプライアンスチームを装っている。受信者に今後の必須手続きとして、Trezor向けの「認証チェック」やLedger向けの「トランザクションチェック」などを警告し、それぞれ2026年2月15日と2025年10月15日の期限を設定している。 nnサイバーセキュリティ専門家ドミトリー・スミリアネッツ氏が受け取ったTrezorを模した手紙の一つには、次のように記されている:「Trezor Suiteへのアクセスに中断が生じないよう、モバイルデバイスでQRコードをスキャンし、当社ウェブサイトの指示に従って2026年2月15日までに認証チェックを有効にしてください」。さらに、デバイスですでに機能を有効にしていても、完全な同期のためには追加の対応が必要だと付け加えている。 nnXで共有された類似のLedgerの手紙も、障害を防ぐためにチェックを完了するよう促している。QRコードはtrezor.authentication-check[.]ioやledger.setuptransactioncheck[.]comなどの詐欺サイトにリンクしており、これらのサイトは公式のセットアップページを複製し、デバイスの所有権確認を装ってユーザーに12語、20語、または24語のリカバリーフレーズの入力を強要する。 nn送信されるとフレーズは攻撃者が制御するtrezor.authentication-check[.]io/black/api/send.phpのAPIに送られ、窃盗犯が被害者のウォレットにアクセスして資金を抜き取ることが可能になる。報道時点でLedgerのサイトはオフライン、TrezorのサイトはCloudflareによりフィッシングとしてフラグ付けされていた。 nnこの標的化は両社での過去のデータ侵害による顧客連絡先情報の漏洩が原因の可能性がある。TrezorとLedgerは、メール、ウェブサイト、郵便でリカバリーフレーズを要求することはないと強調している。リカバリーフレーズは秘密鍵を表し、ウォレットの完全な制御を可能にするため、ハードウェアデバイス自体でのみ入力すべきである。 nnこの物理的フィッシング手法は珍しいが、2021年に郵送された改ざんLedgerデバイスや4月のLedgerユーザーに対する類似キャンペーンなどの過去の事件を想起させる。
