Sebuah kampanye penipuan baru yang menargetkan pengguna dompet keras Ledger dan Trezor melalui surat kertas yang dikirim ke rumah, menggoda untuk memindai QR untuk masuk ke situs palsu dan mencuri frasa pemulihan, sehingga mengambil alih keseluruhan kontrol atas aset kripto.
Trik memanfaatkan psikologi “mendesak” dengan tenggat waktu dan meminta verifikasi wajib. Pengguna perlu memahami: hanya satu kali memasukkan frasa pemulihan yang salah dapat membuat semua uang kripto di dompet hilang.
KONTEN UTAMA
Penipu mengirim surat kertas berpura-pura sebagai Ledger/Trezor, meminta “verifikasi wajib” dan mengarahkan pengguna untuk memindai QR.
QR mengarah ke situs web phishing, tujuannya adalah untuk mengumpulkan frasa pemulihan untuk mengambil alih dompet dan menarik uang.
Ledger/Trezor tidak pernah meminta frasa pemulihan; frasa ini hanya boleh dimasukkan langsung di perangkat dompet keras.
Pengguna Ledger dan Trezor sedang diserang dengan surat kertas yang berisi QR palsu
Para penipu mengirim surat fisik ke rumah pengguna, berpura-pura sebagai tim “keamanan/kepatuhan” dari Ledger atau Trezor dan meminta untuk memindai QR untuk melakukan verifikasi, tujuan akhirnya adalah menggoda korban untuk memberikan frasa pemulihan.
Surat-surat ini dicetak dengan kop surat yang terlihat seperti pemberitahuan resmi. Isi sering mengatakan pengguna harus menyelesaikan “verifikasi” atau “memeriksa transaksi” untuk menghindari kehilangan beberapa fungsi atau kehilangan akses ke aplikasi manajemen dompet.
Bahaya adalah surat kertas menciptakan kesan “tepercaya” daripada email spam. Penipu merancang skenario seperti prosedur internal, menggunakan istilah seperti “Pemeriksaan Autentikasi”, “pemeriksaan transaksi” untuk meningkatkan legitimasi dan membuat penerima bertindak segera.
Tidak jelas bagaimana mereka memilih korban, tetapi kedua perusahaan pernah mengalami kebocoran data. Kasus kebocoran informasi di masa lalu mungkin memberi penjahat data tambahan untuk mengirim surat ke alamat yang benar, kepada kelompok pengguna yang tepat.
Surat penipuan menetapkan batas waktu 15/02 untuk menciptakan tekanan psikologis
Surat penipuan menetapkan tenggat waktu 15/02 dan memperingatkan kehilangan fungsi jika tidak diselesaikan, untuk menciptakan tekanan waktu agar korban memindai QR dan mengikuti instruksi tanpa sempat memeriksa keaslian.
Menurut isi surat yang dikirim kepada pengguna Trezor, penipu menyatakan bahwa “verifikasi autentikasi” akan menjadi wajib dan meminta untuk diselesaikan sebelum 15/02 untuk menghindari kehilangan beberapa fungsi, sambil menyebutkan perlunya “sinkronisasi penuh” dengan Trezor Suite.
Sebuah surat serupa menargetkan pengguna Ledger juga dibagikan di platform X, mendeskripsikan “verifikasi transaksi wajib” dengan batas waktu yang sama. Pola umum adalah mengeluarkan “hukuman” yang samar tetapi menakutkan, memicu respons untuk segera mengikuti.
Contoh surat Trezor yang dikutip dalam artikel memiliki tautan: salinan isi surat di X. Tautan ini membantu pengguna mengenali gaya penyampaian dan nada yang sering muncul dalam kampanye.
Memindai QR akan mengarah ke situs phishing yang berpura-pura sebagai domain Ledger/Trezor
QR dalam surat mengarahkan korban ke situs web palsu, meniru antarmuka Ledger/Trezor dan menampilkan peringatan “wajib” untuk menggoda pengguna memasukkan frasa pemulihan, kemudian mengirim data kembali ke server penipu.
Laporan mengungkapkan bahwa situs phishing yang menargetkan Ledger telah offline, sementara situs yang menargetkan Trezor sebelumnya masih beroperasi dan telah diberi tanda oleh browser/penyedia keamanan sebagai penipuan. Peringatan ala Chrome sering menyatakan bahwa penyerang dapat menipu Anda untuk menginstal perangkat lunak atau mengungkapkan informasi sensitif.
Sebelum diberi tanda, situs palsu ini menampilkan pemberitahuan yang meminta untuk menyelesaikan “pemeriksaan otorisasi” sebelum 15/02 untuk “keamanan”. Itu juga memberikan pengecualian untuk beberapa model dompet seperti “telah dikonfigurasi sebelumnya” untuk membuat konten tampak lebih rinci dan tepercaya, meskipun tujuannya tetap untuk membawa pengguna ke langkah memasukkan frasa seed.
Situs tujuan sering memiliki tombol seperti “Mulai” untuk mendorong pengguna ke langkah berikutnya, disertai peringatan “verifikasi gagal” jika belum selesai. Ini adalah teknik untuk meningkatkan tingkat urgensi, membuat korban mengabaikan tanda-tanda yang tidak biasa.
Situs palsu meminta untuk memasukkan frasa pemulihan dan mengirim data melalui API ke penipu
Ketika korban memasukkan frasa pemulihan di situs palsu, frasa ini akan dikirim ke penipu (sering melalui API di latar belakang), memungkinkan mereka untuk memulihkan dompet di perangkat lain dan menarik semua uang kripto.
Proses yang sering disamarkan sebagai “verifikasi kepemilikan perangkat” atau “mengaktifkan fitur”. Namun secara teknis, frasa pemulihan adalah “kunci” untuk membuat kembali kunci pribadi, sehingga siapa pun yang memiliki frasa ini dapat mengambil alih dompet.
Setelah mendapatkan frasa seed, penjahat tidak memerlukan perangkat fisik Anda. Mereka dapat memasukkan frasa ke dalam dompet perangkat lunak/hardware lain, menandatangani transaksi dan memindahkan aset ke alamat yang mereka kendalikan. Karena transaksi blockchain sulit dibalik, kemungkinan untuk memulihkan biasanya sangat rendah.
Prinsip keamanan: Ledger dan Trezor tidak pernah meminta frasa pemulihan
Ledger dan Trezor tidak pernah meminta pengguna untuk memberikan frasa pemulihan; frasa pemulihan hanya boleh dimasukkan langsung di perangkat dompet keras, tidak dimasukkan ke situs web, QR, email, atau formulir.
Frasa pemulihan adalah istilah untuk pengguna untuk mencadangkan akses dompet. Ini mewakili kontrol atas kunci pribadi, sehingga membagikan frasa ini sama dengan menyerahkan seluruh dompet kepada orang lain.
Jika menerima surat/email/telepon yang meminta frasa seed, anggap itu sebagai penipuan. Selain itu, waspadai pesan yang mendesak dengan tenggat waktu, meminta “verifikasi wajib”, atau instruksi untuk memindai QR untuk “menyinkronkan” dompet.
Praktik keamanan minimum: jangan memindai QR dari sumber yang tidak terverifikasi, ketik alamat situs web dari sumber resmi, dan hanya lakukan konfirmasi/pemulihan secara langsung di layar perangkat dompet keras. Jika sudah terlanjur memasukkan frasa seed, anggap dompet tersebut telah terkompromi dan segera pindahkan aset ke dompet baru dengan frasa seed baru.
Pertanyaan yang sering diajukan
Surat kertas meminta untuk memindai QR untuk “memverifikasi dompet” apakah itu pemberitahuan asli dari Ledger/Trezor?
Tidak. Ini adalah tanda khas penipuan: surat palsu, menciptakan rasa mendesak dan mengarahkan Anda untuk memindai QR ke situs web palsu untuk mendapatkan frasa pemulihan.
Mengapa hanya dengan frasa pemulihan yang bocor bisa kehilangan seluruh uang kripto?
Frasa pemulihan dapat digunakan untuk memulihkan dompet di tempat lain dan memberikan kontrol atas kunci pribadi. Siapa pun yang memiliki frasa ini dapat menandatangani transaksi dan memindahkan aset tanpa perlu perangkat Anda.
Jika sudah memindai QR dan memasukkan frasa pemulihan, apa yang harus dilakukan segera?
Anggap dompet lama telah disusupi. Buat dompet baru dengan frasa pemulihan baru di perangkat yang tepercaya, lalu pindahkan semua aset ke alamat dompet baru secepat mungkin.
Bagaimana cara mengenali situs web phishing yang berpura-pura sebagai Ledger/Trezor?
Situs-situs ini sering meminta Anda untuk memasukkan frasa seed, menetapkan tenggat waktu, memperingatkan kehilangan fungsi dan menggunakan tombol “Mulai” untuk memaksa melanjutkan. Ledger/Trezor tidak meminta frasa seed di situs web.