Una nuova campagna di frode sta mirando agli utenti dei portafogli hardware Ledger e Trezor con lettere cartacee inviate a casa, invitando a scansionare un QR code per accedere a un sito fasullo e rubare la frase di recupero, da cui ottenere il pieno controllo sui beni crypto.
Il trucco sfrutta la psicologia dell'“urgenza” con scadenze temporali e richieste di verifica obbligatorie. Gli utenti devono capire: solo un errore nell'inserimento della recovery phrase può portare a un prelievo totale di tutte le criptovalute nel portafoglio.
CONTENUTO PRINCIPALE
Un truffatore invia una lettera cartacea fingendo di essere Ledger/Trezor, richiedendo un “controllo obbligatorio” e indirizzando l'utente a scansionare il QR.
Il QR porta a un sito web di phishing, l'obiettivo è raccogliere la frase di recupero per prendere il controllo del portafoglio e prelevare denaro.
Ledger/Trezor non richiede mai la frase di recupero; questa dovrebbe essere inserita solo direttamente sul dispositivo del portafoglio hardware.
Gli utenti di Ledger e Trezor sono sotto attacco da lettere cartacee contenenti QR contraffatti.
I truffatori inviano lettere fisiche agli utenti, fingendo di essere il team di “sicurezza/rispetto” di Ledger o Trezor e richiedendo di scansionare il QR per effettuare un controllo, l'obiettivo finale è indurre la vittima a fornire la frase di recupero.
Queste lettere sono stampate su carta intestata che sembra un avviso ufficiale. Il contenuto di solito dice all'utente di completare la “verifica” o il “controllo delle transazioni” per evitare di perdere alcune funzionalità o l'accesso all'app di gestione del portafoglio.
Il punto pericoloso è che le lettere cartacee danno un'impressione di “affidabilità” maggiore rispetto alle email di spam. Il truffatore progetta lo scenario in stile procedura interna, usando termini come “Controllo di autenticazione”, “controllo delle transazioni” per aumentare la legittimità e spingere il destinatario ad agire immediatamente.
Non è chiaro come scelgano le vittime, ma entrambe le aziende hanno avuto problemi di fuga di dati. Le violazioni di informazioni nel passato possono aver fornito ai malintenzionati ulteriori dati per inviare lettere agli indirizzi giusti, al giusto gruppo di utenti.
La lettera truffaldina impone una scadenza del 15/02 per creare pressione psicologica.
La lettera truffaldina impone una scadenza del 15/02 e avverte della perdita di funzionalità se non completata, per creare pressione temporale affinché la vittima scansionasse il QR e seguisse le istruzioni senza avere il tempo di verificare l'autenticità.
Secondo il contenuto della lettera inviata agli utenti Trezor, il truffatore afferma che il “controllo di verifica” diventerà obbligatorio e richiede di completarlo entro il 15/02 per evitare di perdere alcune funzionalità, citando anche la necessità di “sincronizzazione completa” con Trezor Suite.
Una lettera simile mirata agli utenti Ledger è stata condivisa sulla piattaforma X, descrivendo un “controllo obbligatorio delle transazioni” con la stessa scadenza. Il modello comune è quello di presentare una “penalità” vaga ma spaventosa, attivando una reazione di conformità immediata.
Ad esempio, la lettera di Trezor citata nell'articolo ha collegamenti: una copia del contenuto della lettera su X. Questo collegamento aiuta gli utenti a riconoscere il tipo di presentazione e il tono di voce comune nelle campagne.
Scansionare il QR porterà a un sito web di phishing che contraffà il dominio Ledger/Trezor.
Il QR nella lettera porta le vittime a siti web contraffatti, imitano l'interfaccia di Ledger/Trezor e mostrano un avviso “obbligatorio” per indurre gli utenti a inserire la frase di recupero, quindi inviano i dati al server del truffatore.
I rapporti indicano che il sito di phishing mirato a Ledger è andato offline, mentre il sito mirato a Trezor era ancora attivo ed è stato contrassegnato come truffa dai browser/fornitori di sicurezza. Gli avvisi di tipo Chrome di solito indicano che un attaccante potrebbe indurti a installare software o rivelare informazioni sensibili.
Prima di essere contrassegnato, questo sito contraffatto mostrava un avviso che richiedeva di completare il “controllo di autorizzazione” entro il 15/02 per essere “al sicuro”. Ha anche fatto eccezioni per alcuni modelli di portafogli come “già configurati” per rendere il contenuto più dettagliato e credibile, anche se l'obiettivo rimaneva quello di indirizzare gli utenti verso il passaggio di inserimento della seed phrase.
La pagina di destinazione di solito ha pulsanti come “Inizia” per spingere l'utente nel passaggio successivo, insieme a un avviso di “fallimento della verifica” se non è stata completata. Questa è una tecnica per aumentare gradualmente il senso di urgenza, portando la vittima a trascurare i segnali anomali.
Le pagine contraffatte richiedono di inserire la frase di recupero e trasferiscono i dati tramite API al truffatore.
Quando la vittima inserisce la frase di recupero sulla pagina contraffatta, questa sarà inviata al truffatore (solitamente tramite un'API in background), consentendo loro di ripristinare il portafoglio su un altro dispositivo e prelevare tutti i criptovaluta.
Il processo è comunemente mascherato come “verifica della proprietà del dispositivo” o “attivazione della funzionalità”. Ma tecnicamente, la frase di recupero è la “chiave” per rigenerare la chiave privata, quindi chiunque possieda questa frase può prendere il controllo del portafoglio.
Dopo aver ottenuto la seed phrase, i malintenzionati non hanno bisogno del tuo dispositivo fisico. Possono inserire la frase in un altro portafoglio software/hardware, firmare transazioni e trasferire beni a un indirizzo che controllano. Poiché le transazioni blockchain sono difficili da annullare, le possibilità di recupero sono generalmente molto basse.
Principio di sicurezza: Ledger e Trezor non richiedono mai la frase di recupero.
Ledger e Trezor non richiedono mai agli utenti di fornire la frase di recupero; la frase di recupero dovrebbe essere inserita solo direttamente sul dispositivo del portafoglio hardware, non su un sito web, QR, email o modulo.
La frase di recupero è un modo per consentire agli utenti di eseguire il backup dell'accesso al portafoglio. Rappresenta il controllo della chiave privata, quindi condividere questa frase significa cedere l'intero portafoglio a qualcun altro.
Se ricevi una lettera/email/chiamata che richiede la seed phrase, considerala una truffa. Inoltre, presta attenzione ai messaggi che esercitano pressione temporale, richiedono un “controllo obbligatorio”, o istruiscono a scansionare il QR per “sincronizzare” il portafoglio.
Pratiche di sicurezza minime: non scansionare QR da fonti non verificate, digitare l'indirizzo del sito web da fonti ufficiali, e solo eseguire conferme/recuperi direttamente sullo schermo del dispositivo del portafoglio hardware. Se hai già inserito la seed phrase, considera il portafoglio compromesso e trasferisci i beni a un nuovo portafoglio con una nuova seed phrase il prima possibile.
Domande frequenti.
La lettera cartacea che richiede di scansionare il QR per “verificare il portafoglio” è un avviso legittimo da Ledger/Trezor?
No. Questo è un segno distintivo di una truffa: lettere contraffatte, creano un senso di urgenza e ti indirizzano a scansionare il QR su un sito web falso per ottenere la frase di recupero.
Perché basta che la frase di recupero venga compromessa per perdere tutto il criptovaluta?
La frase di recupero può essere utilizzata per ripristinare il portafoglio altrove e creare il controllo della chiave privata. Chi possiede questa frase può firmare transazioni e trasferire beni senza il tuo dispositivo.
Cosa fare subito se hai scansionato il QR e inserito la frase di recupero?
Considera il vecchio portafoglio compromesso. Crea un nuovo portafoglio con una nuova frase di recupero su un dispositivo affidabile, quindi trasferisci tutti i beni all'indirizzo del nuovo portafoglio il prima possibile.
Come riconoscere un sito web di phishing che contraffà Ledger/Trezor?
Queste pagine ti costringono solitamente a inserire la seed phrase, dando scadenze, avvertendo di perdere funzionalità e usando il pulsante “Inizia” per forzare il proseguimento. Ledger/Trezor non richiede la seed phrase sul sito web.