Мошенники рассылают поддельные письма от имени Ledger и Trezor для кражи мнемонических слов

Мошенники используют поддельные почтовые письма и QR-коды, чтобы обманом заставить пользователей Trezor и Ledger раскрыть мнемонические слова кошельков.

Крипто-фишинговые атаки больше не ограничиваются электронными письмами и поддельной рекламой. Преступники теперь отправляют физические письма пользователям аппаратных кошельков. Почта выглядит официально и призывает к быстрым действиям, чтобы обманом заставить людей раскрыть свои фразы восстановления и украсть их средства.

Пользователей Trezor и Ledger предупреждают о фишинговых письмах с QR-кодами

Злоумышленники отправляют письма пользователям, выдавая себя за Trezor и Ledger, двух крупных производителей аппаратных кошельков. В письмах утверждается, что пользователи должны пройти обязательную "Проверку аутентификации" или "Проверку транзакций". Они предупреждают, что невыполнение этого требования может вызвать проблемы с доступом к кошельку. Каждое письмо содержит QR-код, который ведет получателей на фишинговые веб-сайты.

Отчеты показывают, что письма выглядят официально и используют логотипы и брендинг компаний. Между тем, обе компании пострадали от утечек данных в прошлом, которые раскрыли контактные данные клиентов. Украденная почтовая информация могла способствовать охвату кампании.

Эксперт по кибербезопасности Дмитрий Смилянец поделился одним из этих поддельных писем в публикации X. В этом случае мошенники выдавали себя за Trezor и попросили пользователей завершить проверку аутентификации до 15 февраля 2026 года. Несоблюдение якобы означало нарушение доступа к Trezor Suite.

Более того, в письме пользователям предлагалось отсканировать QR-код своим телефоном и следовать инструкциям на веб-сайте. Оно добавляло давление, утверждая, что действие требуется, даже если функция уже активирована. Цель мошенников состояла в том, чтобы заставить людей действовать быстро, не задумываясь.

Аналогичное письмо было направлено пользователям Ledger. В нем утверждалось, что обязательная "Проверка транзакций" скоро появится. С крайним сроком, установленным на 15 октября 2025 года, сообщение предупреждало, что игнорирование может вызвать проблемы с транзакциями.

Сканирование QR-кодов вело на поддельные веб-сайты, которые выглядели как официальные страницы Trezor или Ledger. Сайт, связанный с Ledger, позже был отключен, в то время как поддельный сайт Trezor оставался онлайн, но был идентифицирован как фишинговый Cloudflare.

На поддельной странице Trezor отображался предупреждающий баннер, призывающий пользователей завершить аутентификацию до 15 февраля 2026 года. На странице было добавлено исключение для некоторых новых моделей Trezor Safe, приобретенных после 30 ноября 2025 года. Утверждалось, что эти устройства были предварительно настроены.

Далее, на последней странице пользователям предлагалось ввести фразу восстановления кошелька. Форма допускала 12, 20 или 24 слова. Для подтверждения владения сайт требовал фразу для активации аутентификации. В реальности, ввод ее предоставил бы мошенникам полный доступ к кошельку.

Безопасность мнемонических слов в фокусе по мере роста офлайн-крипто-мошенничества

Физический фишинг остается менее распространенным, чем мошенничество по электронной почте. Однако почтовые кампании появлялись и раньше. В 2021 году преступники отправляли модифицированные устройства Ledger, предназначенные для захвата фраз восстановления во время настройки. Еще одна волна почтового фишинга, нацеленного на пользователей Ledger, появилась в апреле.

Поставщики аппаратных кошельков неоднократно предупреждают клиентов никогда не делиться фразами восстановления. Никакое законное обновление или проверка безопасности не требует ввода мнемонического слова онлайн. Компании не запрашивают такие данные по почте, электронной почте или телефону.

Между тем, растущая изощренность интернет-мошенничества сигнализирует о постоянном риске для держателей криптовалют. Офлайн-тактика может показаться более правдоподобной некоторым пользователям, поскольку печатные письма могут выглядеть официально и срочно. 

Поэтому пользователи должны проверять любые уведомления о безопасности напрямую через официальные веб-сайты. Ручной ввод известных веб-адресов безопаснее, чем сканирование неизвестных QR-кодов. О подозрительных письмах следует немедленно сообщать поставщикам кошельков и органам кибербезопасности.

Публикация "Мошенники рассылают поддельные письма Ledger и Trezor для кражи мнемонических слов" впервые появилась на Live Bitcoin News.