Появилась новая мошенническая схема, нацеленная на пользователей аппаратных кошельков для криптовалюты.
Мошенники рассылают бумажные письма, выдающие себя за письма от Trezor и Ledger, направляя пользователей на поддельные веб-сайты и стремясь получить их сид-фразы.
Письма, рассылаемые в рамках этой кампании, имитируют официальные фирменные бланки компаний. В них говорится, что пользователи должны пройти обязательную процедуру под названием «Проверка личности» или «Проверка транзакций», чтобы избежать потери доступа к своим кошелькам.
Мошенники устанавливают конкретные сроки, чтобы заставить пользователей поторопиться, и просят их отсканировать QR-код в письме. Эти QR-коды, в свою очередь, перенаправляют пользователей на фишинговые сайты, имитирующие официальные страницы установки Trezor и Ledger.
В поддельном электронном письме от Trezor, отправленном эксперту по кибербезопасности Дмитрию Смилянецу, утверждалось, что функциональность устройства может быть ограничена, если проверка подлинности не будет завершена к 15 февраля 2026 года. Аналогично, в электронном письме, посвященном Ledger и распространенном в социальной сети X, говорилось, что процесс «проверки транзакций» необходимо завершить к 15 октября 2025 года.
Хотя поддельное доменное имя Ledger, на которое можно было перейти по QR-коду, было удалено, сообщалось, что сайт, оформленный в стиле Trezor, оставался активным некоторое время, прежде чем был помечен как фишинговый.
Поддельная страница Trezor запрашивает у пользователей фразу восстановления из 12, 20 или 24 слов. Сайт утверждает, что эта информация необходима для подтверждения владельца устройства и активации функции. Однако введенные данные передаются злоумышленникам напрямую через API в фоновом режиме.
Эта информация позволяет злоумышленникам перенести кошелек жертвы на свои устройства и украсть находящиеся в нем криптоактивы.
Неясно, какие критерии использовались для отправки писем. Однако в последние годы как Trezor, так и Ledger сталкивались с утечками данных, в результате которых раскрывалась контактная информация клиентов. Это усиливает вероятность того, что физические адреса могли попасть в чужие руки.
Фишинговые атаки по почте встречаются редко, но не являются чем-то совершенно новым. В 2021 году злоумышленники рассылали модифицированные устройства Ledger, предназначенные для кражи эмодзи восстановления во время настройки. Аналогичная кампания, направленная на пользователей Ledger, также была зафиксирована в апреле.
Сид-фразы, используемые в аппаратных кошельках, можно определить как текстовый эквивалент закрытых ключей и они предоставляют полный доступ к активам в кошельке. Любой, кто обладает этой фразой, может контролировать все средства в кошельке.
Производители, такие как Trezor и Ledger, никогда не просят пользователей вводить фразы восстановления на веб-сайте, сканировать QR-код или делиться ими в интернете. Фразы восстановления следует вводить только на самом устройстве, в среде, не подключенной к интернету.
*Это не инвестиционная рекомендация.
