Злоумышленники проводят целенаправленную фишинговую кампанию, рассылая владельцам аппаратных кошельков Trezor и Ledger физические письма. В корреспонденции, напечатанной на официально выглядящих бланках, мошенники, выдавая себя за службу поддержки компаний, требуют от пользователей пройти обязательную «Проверку аутентификации» или «Проверку транзакций» под угрозой потери функциональности устройства. В письмах указаны QR-коды, ведущие на поддельные сайты.
Фишинговые ресурсы, оформленные в стилистике Trezor и Ledger, под различными предлогами запрашивают у жертв секретные восстановительные фразы (seed phrases) длиной 12, 20 или 24 слова. Сайты создают ложное ощущение срочности: например, для писем от имени Trezor установлен дедлайн на 15 февраля 2026 года. Письма от имени Ledger утверждают, что процедура проверки стала обязательной для устройств, купленных после 30 ноября 2025 года, оказывая давление на владельцев более старых моделей.
«Чтобы избежать перебоев в доступе к Trezor Suite, пожалуйста, отсканируйте QR-код вашим мобильным устройством и следуйте инструкциям на нашем веб-сайте», — цитирует одно из писем эксперт по кибербезопасности Дмитрий Смилянец.
Введённые пользователями сид-фразы автоматически передаются злоумышленникам через backend API. Получив доступ к восстановительной фразе, атакующие импортируют кошелёк на своё устройство и выводят все средства. Компании Trezor и Ledger никогда не запрашивают у пользователей сид-фразы через какие-либо каналы связи. Эти фразы следует вводить только непосредственно на самом аппаратном кошельке при его восстановлении.
Использование физической почты — относительно редкая тактика для криптофишинга, позволяющая обходить традиционные фильтры электронной почты и SMS. Предполагается, что базы данных с почтовыми адресами жертв могли быть получены в результате прошлых утечек данных обеих компаний. Ранее, в 2021 году, уже фиксировались кампании с рассылкой модифицированных устройств Ledger, а в апреле текущего года — аналогичные почтовые атаки.
