Krypto-hackere sender falske brev
Krypto-hackere sender fysiske brev som utgir seg for å være fra Trezor og Ledger for å stjele gjenopprettingsfraser for kryptovaluta-lommebøker. Phishingkampanjen påstår at mottakerne må fullføre obligatoriske «autentiseringskontroller» eller «transaksjonskontroller». Hackerne skaper også hastverk ved å sette en frist den 15. februar 2026 for Trezor.
Innholdet i brevene
Brevene, trykt på offisielt utseende brevpapir, ber brukerne om å skanne QR-koder som fører til ondsinnede nettsteder. Phishing-nettstedene ber om 24-, 20- eller 12-ords gjenopprettingsfraser under påskudd av å verifisere eierskap av enheten. Når disse er skrevet inn, sendes gjenopprettingsfrasene til trusselaktører gjennom backend API-endepunkter, noe som gir angriperne full kontroll over ofrenes lommebøker og midler.
Datainnbrudd og advarsler
Begge maskinvare-lommebokfirmaene har hatt datainnbrudd de siste årene som har eksponert kunders kontaktinformasjon. Cybersikkerhetsekspert Dmitry Smilyanets mottok et falskt Trezor-brev som advarte om at manglende fullføring av autentisering ville resultere i tap av enhetsfunksjonalitet.
«For å unngå forstyrrelser i tilgangen til Trezor Suite, vennligst skann QR-koden med mobilenheten din og følg instruksjonene på nettstedet vårt,»
stod det i brevet.
Phishing-nettsteder og falsk hastverk
Trezor phishing-nettstedet viser advarsler om begrenset tilgang, transaksjonsfeil og forstyrrelser med fremtidige oppdateringer. Et lignende Ledger-tema brev sirkulerte på X, og påsto at transaksjonskontroll ville bli obligatorisk. Phishing-sidene lar brukere skrive inn gjenopprettingsfraser i flere formater, og påstår feilaktig at informasjonen verifiserer eierskap av enheten og aktiverer autentiseringsfunksjoner. Når ofrene skriver inn gjenopprettingsfrasene, sendes dataene til phishing-nettstedet. Angriperne importerer lommeboken til sine egne enheter og tømmer midlene.
Fysiske post-phishingkampanjer
Brevene skaper falsk hastverk ved å påstå at enheter kjøpt etter 30. november 2025 vil komme forhåndskonfigurert, og presser tidligere kjøpere til å handle. Fysiske post-phishingkampanjer som retter seg mot brukere av maskinvare-lommebøker er fortsatt relativt sjeldne. Krypto-hackere sendte modifiserte Ledger-enheter i 2021, designet for å stjele gjenopprettingsfraser under oppsett. En lignende postkampanje som retter seg mot Ledger-brukere ble rapportert i april.
Viktigheten av sikkerhet
Enhver som besitter en lommeboks gjenopprettingsfrase får full kontroll over lommeboken og alle midler. Trezor og Ledger ber aldri brukere om å skrive inn, skanne, laste opp eller dele gjenopprettingsfraser gjennom noen kanal. Gjenopprettingsfraser bør kun skrives inn direkte på maskinvare-lommebok-enheter når man gjenoppretter lommebøker, aldri på datamaskiner, mobile enheter eller nettsteder.
Uklare målrettingskriterier
Kriteriene for målretting av de fysiske brevene er fortsatt uklare. Imidlertid har begge selskapenes tidligere datainnbrudd eksponert kunders postadresser og kontaktinformasjon for potensielle angripere.
