Des acteurs malveillants envoient des lettres physiques usurpant l'identité de Trezor et Ledger pour tromper les utilisateurs de portefeuilles matériels de cryptomonnaies et les inciter à révéler leurs phrases de récupération. Les lettres créent un sentiment d'urgence en affirmant que des vérifications obligatoires sont nécessaires pour éviter la perte d'accès au portefeuille. Les victimes qui scannent les codes QR inclus sont redirigées vers des sites de phishing qui volent leurs informations de portefeuille.
Les cybercriminels ont lancé une campagne de phishing utilisant le courrier postal pour cibler les utilisateurs de portefeuilles matériels Trezor et Ledger. Les lettres, imprimées sur un en-tête officiel falsifié, prétendent provenir des équipes de sécurité et de conformité des entreprises. Elles avertissent les destinataires de procédures obligatoires à venir, telles qu'un « Vérification d'authentification » pour Trezor ou un « Vérification de transaction » pour Ledger, avec des échéances respectives du 15 février 2026 et du 15 octobre 2025. nnUne telle lettre imitant Trezor, reçue par l'expert en cybersécurité Dmitry Smilyanets, déclare : « Pour éviter toute interruption de l'accès à votre Trezor Suite, veuillez scanner le code QR avec votre appareil mobile et suivre les instructions sur notre site web pour activer la Vérification d'authentification d'ici le 15 février 2026. » Elle ajoute que même si les utilisateurs ont déjà activé la fonctionnalité sur leur appareil, une action supplémentaire est nécessaire pour une synchronisation complète. nnUne lettre Ledger similaire, partagée sur X, exhorte les utilisateurs à compléter la vérification pour éviter les interruptions. Les codes QR mènent à des sites web frauduleux, dont trezor.authentication-check[.]io et ledger.setuptransactioncheck[.]com. Ces sites reproduisent les pages de configuration officielles et incitent les utilisateurs à saisir leurs phrases de récupération de 12, 20 ou 24 mots sous prétexte de vérifier la propriété de l'appareil. nnUne fois soumises, les phrases sont envoyées à une API contrôlée par l'attaquant à trezor.authentication-check[.]io/black/api/send.php, permettant aux voleurs d'accéder et de vider les portefeuilles des victimes. Au moment du rapport, le site Ledger était hors ligne, tandis que celui de Trezor a été signalé par Cloudflare comme phishing. nnCette cible pourrait provenir de violations de données passées chez les deux entreprises, qui ont exposé les coordonnées des clients. Trezor et Ledger insistent sur le fait qu'ils ne demandent jamais les phrases de récupération par e-mail, site web ou courrier. Les phrases de récupération, qui représentent les clés privées, accordent un contrôle total du portefeuille et ne doivent être saisies que sur l'appareil matériel lui-même. nnCette tactique de phishing physique est inhabituelle mais rappelle des incidents antérieurs, y compris des appareils Ledger modifiés envoyés par courrier en 2021 et une campagne similaire contre les utilisateurs de Ledger en avril.
