Krypto-Hacker Phishing-Kampagne
Krypto-Hacker versenden gefälschte physische Briefe, in denen sie sich als Trezor und Ledger ausgeben, um die Wiederherstellungsphrasen von Kryptowährungs-Wallets zu stehlen. Diese Phishing-Kampagne behauptet, die Empfänger müssten zwingende „Authentifizierungsprüfungen“ oder „Transaktionsprüfungen“ durchführen. Um Dringlichkeit zu erzeugen, setzen die Hacker Fristen bis zum 15. Februar 2026 für Trezor.
Die Briefe sind auf offiziell aussehendem Briefpapier gedruckt und fordern die Nutzer auf, QR-Codes zu scannen, die zu bösartigen Websites führen. Diese Phishing-Seiten verlangen 24-, 20- oder 12-Wort-Wiederherstellungsphrasen unter dem Vorwand, den Gerätebesitz zu verifizieren. Sobald die Nutzer ihre Wiederherstellungsphrasen eingeben, werden diese über Backend-API-Endpunkte an die Angreifer übertragen, was den Hackern die vollständige Kontrolle über die Wallets und Gelder der Opfer ermöglicht.
Vorangegangene Datenpannen
Beide Hardware-Wallet-Unternehmen haben in den letzten Jahren Datenpannen erlitten, die die Kontaktdaten ihrer Kunden offengelegt haben. Der Cybersicherheitsexperte Dmitry Smilyanets erhielt einen gefälschten Trezor-Brief, der warnte, dass das Versäumnis, die Authentifizierung abzuschließen, zu einem Verlust der Gerätefunktionalität führen würde. In dem Brief hieß es:
„Um Unterbrechungen beim Zugriff auf Ihre Trezor Suite zu vermeiden, scannen Sie bitte den QR-Code mit Ihrem mobilen Gerät und folgen Sie den Anweisungen auf unserer Website.“
Die Trezor-Phishing-Seite zeigt Warnungen über eingeschränkten Zugriff, Fehler beim Transaktionssignieren und Störungen bei zukünftigen Updates an.
Ähnliche Phishing-Versuche
Ein ähnlicher, Ledger-bezogener Brief kursierte auf X und behauptete, die Transaktionsprüfung würde obligatorisch werden. Die Phishing-Seiten ermöglichen es Nutzern, Wiederherstellungsphrasen in mehreren Formaten einzugeben und behaupten fälschlicherweise, die Informationen würden den Gerätebesitz verifizieren und Authentifizierungsfunktionen aktivieren. Sobald die Opfer die Wiederherstellungsphrasen eingeben, werden die Daten an die Phishing-Seite übertragen. Die Angreifer importieren die Wallet auf ihre eigenen Geräte und leeren die Gelder.
Falsche Dringlichkeit und Sicherheitswarnungen
Die Briefe erzeugen falsche Dringlichkeit, indem sie behaupten, Geräte, die nach dem 30. November 2025 gekauft wurden, seien vorkonfiguriert, und setzen frühere Käufer unter Druck, sofort zu handeln. Physische Mail-Phishing-Kampagnen, die auf Nutzer von Hardware-Wallets abzielen, sind relativ selten. Krypto-Hacker haben 2021 modifizierte Ledger-Geräte verschickt, die darauf ausgelegt waren, Wiederherstellungsphrasen während der Einrichtung zu stehlen. Eine ähnliche Postkampagne, die auf Ledger-Nutzer abzielte, wurde im April gemeldet.
Wichtige Sicherheitshinweise
Jeder, der eine Wiederherstellungsphrase einer Wallet besitzt, erhält die vollständige Kontrolle über die Wallet und alle Gelder. Trezor und Ledger fragen die Nutzer niemals, Wiederherstellungsphrasen über irgendeinen Kanal einzugeben, zu scannen, hochzuladen oder zu teilen. Wiederherstellungsphrasen sollten nur direkt auf den Geräten der Hardware-Wallet eingegeben werden, wenn Wallets wiederhergestellt werden, niemals auf Computern, mobilen Geräten oder Websites.
Die Kriterien für die Zielauswahl der physischen Briefe bleiben unklar. Allerdings haben die vergangenen Datenpannen beider Unternehmen die Adressen und Kontaktdaten der Kunden potenziellen Angreifern offengelegt.
