Фишинговая кампания против пользователей Trezor и Ledger
Крипто-хакеры отправляют физические письма, выдавая себя за Trezor и Ledger, с целью кражи фраз восстановления криптовалютных кошельков. Фишинговая кампания утверждает, что получатели должны пройти обязательные процедуры «Проверка аутентификации» или «Проверка транзакции». Хакеры создают ощущение срочности, устанавливая крайний срок 15 февраля 2026 года для Trezor.
Письма, напечатанные на официально выглядящих бланках, призывают пользователей сканировать QR-коды, ведущие на вредоносные веб-сайты. Эти фишинговые сайты запрашивают 24-, 20- или 12-словные фразы восстановления под предлогом проверки права собственности на устройство. После ввода фраз восстановления они передаются злоумышленникам через конечные точки API, предоставляя нападающим полный контроль над кошельками и средствами жертв.
Утечки данных и поддельные письма
Обе компании по производству аппаратных кошельков подверглись утечкам данных в последние годы, что привело к раскрытию контактной информации клиентов. Эксперт по кибербезопасности Дмитрий Смилянец получил поддельное письмо от Trezor с предупреждением о том, что невыполнение аутентификации приведет к потере функциональности устройства.
«Чтобы избежать каких-либо перебоев в доступе к вашему Trezor Suite, пожалуйста, отсканируйте QR-код с вашего мобильного устройства и следуйте инструкциям на нашем сайте,» — говорится в письме.
Фишинговый сайт Trezor отображает предупреждения о ограниченном доступе, ошибках подписания транзакций и сбоях в будущих обновлениях.
Письма от Ledger и ложное чувство срочности
Похожее письмо, связанное с Ledger, циркулировало в X, утверждая, что проверка транзакции станет обязательной. Фишинговые страницы позволяют пользователям вводить фразы восстановления в нескольких форматах, ложно утверждая, что эта информация подтверждает право собственности на устройство и включает функции аутентификации. Как только жертвы вводят фразы восстановления, данные передаются на фишинговый сайт. Злоумышленники импортируют кошелек на свои устройства и выводят средства.
Письма создают ложное чувство срочности, утверждая, что устройства, купленные после 30 ноября 2025 года, поставляются с предустановленными настройками, подталкивая более ранних покупателей к действию.
Рекомендации по безопасности
Физические фишинговые кампании, нацеленные на пользователей аппаратных кошельков, остаются относительно редкими. В 2021 году крипто-хакеры отправили модифицированные устройства Ledger, предназначенные для кражи фраз восстановления во время настройки. Похожая почтовая кампания, нацеленная на пользователей Ledger, была зафиксирована в апреле. Любой, кто обладает фразой восстановления кошелька, получает полный контроль над кошельком и всеми средствами.
Trezor и Ledger никогда не просят пользователей вводить, сканировать, загружать или делиться фразами восстановления через какие-либо каналы. Фразы восстановления следует вводить только непосредственно на устройствах аппаратного кошелька при восстановлении кошельков, никогда на компьютерах, мобильных устройствах или веб-сайтах.
Критерии нацеливания для физических писем остаются неясными. Однако прошлые утечки данных обеих компаний раскрыли почтовые адреса клиентов и контактную информацию потенциальным злоумышленникам.
