الممثلون المهددون يرسلون رسائل مادية تتظاهر بأنها من Trezor و Ledger لخداع مستخدمي محافظ الأجهزة للعملات المشفرة للكشف عن عبارات الاسترداد. تخلق الرسائل شعوراً بالإلحاح مدعية أن فحوصات إلزامية مطلوبة لتجنب فقدان الوصول إلى المحفظة. الضحايا الذين يمسحون رموز QR المضمنة يتم توجيههم إلى مواقع تصيد احتيالي تسرق معلومات محافظهم.
أطلق المجرمون الإلكترونيون حملة تصيد احتيالي باستخدام البريد العادي لاستهداف مستخدمي محافظ الأجهزة Trezor و Ledger. الرسائل، المطبوعة على ورق رسمي مزيف، تتظاهر بأنها صادرة عن فرق الأمان والامتثال في الشركات. تحذر المستلمين من إجراءات إلزامية قادمة، مثل «فحص المصادقة» لـ Trezor أو «فحص المعاملات» لـ Ledger، مع مواعيد نهائية في 15 فبراير 2026 و15 أكتوبر 2025 على التوالي. nnإحدى هذه الرسائل التي تحاكي Trezor، والتي تلقاها خبير الأمن السيبراني دميتري سميليانيتس، تقول: «لتجنب أي تعطيل في الوصول إلى Trezor Suite الخاص بك، يرجى مسح رمز QR بجهازك المحمول واتباع التعليمات على موقعنا الإلكتروني لتفعيل فحص المصادقة بحلول 15 فبراير 2026». وتضيف أنه حتى لو قام المستخدمون بتفعيل الميزة على أجهزتهم، فإن إجراءً إضافياً مطلوباً للتزامن الكامل. nnرسالة Ledger مشابهة، تم مشاركتها على X، تحث المستخدمين على إكمال الفحص لمنع التعطيلات. ترتبط رموز QR بمواقع ويب احتيالية، بما في ذلك trezor.authentication-check[.]io و ledger.setuptransactioncheck[.]com. هذه المواقع تحاكي صفحات الإعداد الرسمية وتضغط على المستخدمين لإدخال عبارات الاسترداد المكونة من 12 أو 20 أو 24 كلمة تحت ستار التحقق من ملكية الجهاز. nnبمجرد الإرسال، يتم إرسال العبارات إلى واجهة برمجة تطبيقات (API) يسيطر عليها المهاجم في trezor.authentication-check[.]io/black/api/send.php، مما يسمح للصوص بالوصول إلى محافظ الضحايا وتفريغها. في وقت النشر، كان موقع Ledger غير متاح، بينما تم الإبلاغ عن موقع Trezor من قبل Cloudflare كتصيد احتيالي. nnقد يعود الاستهداف إلى تسربات بيانات سابقة في كلا الشركتين، والتي كشفت تفاصيل اتصال العملاء. تؤكد Trezor و Ledger أنهما لا يطالبان أبداً بعبارات الاسترداد عبر البريد الإلكتروني أو الموقع أو البريد. تمثل عبارات الاسترداد المفاتيح الخاصة، وتمنح السيطرة الكاملة على المحفظة ويجب إدخالها فقط على الجهاز نفسه. nnهذه التكتيك التصيدي المادي غير شائع لكنه يشبه حوادث سابقة، بما في ذلك أجهزة Ledger المعدلة المرسلة بالبريد في 2021 وحملة مشابهة ضد مستخدمي Ledger في أبريل.
