Atores de ameaças estão enviando cartas físicas se passando por Trezor e Ledger para enganar usuários de carteiras de hardware de criptomoedas a revelarem frases de recuperação. As cartas criam urgência alegando que verificações obrigatórias são necessárias para evitar perda de acesso à carteira. Vítimas que escaneiam os códigos QR incluídos são direcionadas a sites de phishing que roubam informações da carteira.
Cibercriminosos lançaram uma campanha de phishing usando correio tradicional para mirar usuários de carteiras de hardware Trezor e Ledger. As cartas, impressas em papel timbrado oficial falso, fingem vir das equipes de segurança e conformidade das empresas. Elas alertam os destinatários sobre procedimentos obrigatórios iminentes, como uma «Verificação de Autenticação» para Trezor ou «Verificação de Transação» para Ledger, com prazos de 15 de fevereiro de 2026 e 15 de outubro de 2025, respectivamente. nnUma dessas cartas imitando Trezor, recebida pelo especialista em cibersegurança Dmitry Smilyanets, afirma: «Para evitar qualquer interrupção no acesso ao seu Trezor Suite, escaneie o código QR com seu dispositivo móvel e siga as instruções em nosso site para ativar a Verificação de Autenticação até 15 de fevereiro de 2026». Ela acrescenta que mesmo se os usuários já ativaram o recurso em seu dispositivo, uma ação adicional é necessária para sincronização completa. nnUma carta similar do Ledger, compartilhada no X, insta os usuários a completarem a verificação para evitar interrupções. Os códigos QR levam a sites fraudulentos, incluindo trezor.authentication-check[.]io e ledger.setuptransactioncheck[.]com. Esses sites replicam páginas oficiais de configuração e pressionam os usuários a inserir suas frases de recuperação de 12, 20 ou 24 palavras sob o pretexto de verificar a propriedade do dispositivo. nnUma vez enviadas, as frases são transmitidas para uma API controlada pelo atacante em trezor.authentication-check[.]io/black/api/send.php, permitindo que ladrões acessem e esvaziem as carteiras das vítimas. No momento da reportagem, o site do Ledger estava offline, enquanto o do Trezor foi sinalizado pela Cloudflare como phishing. nnO alvo pode decorrer de violações de dados passadas em ambas as empresas, que expuseram detalhes de contato dos clientes. Trezor e Ledger enfatizam que nunca solicitam frases de recuperação por e-mail, site ou correio. As frases de recuperação, que representam chaves privadas, concedem controle total da carteira e devem ser inseridas apenas no próprio dispositivo de hardware. nnEssa tática de phishing físico é incomum, mas ecoa incidentes anteriores, incluindo dispositivos Ledger modificados enviados por correio em 2021 e uma campanha similar contra usuários do Ledger em abril.
