Uma nova campanha de golpe está mirando usuários de hardware wallets Ledger e Trezor com cartas físicas enviadas para casa, enganando-os a escanear QR para acessar um site falso e roubar a frase de recuperação, assim assumindo total controle dos ativos em cripto.
Estratégia que explora a psicologia da “urgência” com prazos e solicitações de verificação obrigatória. O usuário precisa entender: um único erro ao inserir a seed phrase pode fazer com que toda a criptomoeda na carteira seja retirada.
CONTEÚDO PRINCIPAL
Golpista envia carta falsa se passando por Ledger/Trezor, solicitando “verificação obrigatória” e direcionando o usuário a escanear o QR.
QR leva a um site de phishing, com o objetivo de coletar a frase de recuperação para tomar controle da carteira e retirar dinheiro.
Ledger/Trezor nunca solicitará a seed phrase; essa frase só deve ser inserida diretamente no dispositivo de hardware wallet.
Usuários de Ledger e Trezor estão sendo atacados com cartas físicas contendo QR falsos
Os golpistas enviam cartas físicas para as casas dos usuários, se passando pela equipe de “segurança/conformidade” do Ledger ou Trezor e solicitando escanear o QR para realizar uma verificação, com o objetivo final de enganar a vítima a fornecer a seed phrase.
Essas cartas são impressas em cabeçalho que parecem notificações oficiais. O conteúdo geralmente diz que o usuário deve completar “verificação” ou “verificação de transação” para evitar perder algumas funções ou o acesso ao aplicativo de gerenciamento de carteira.
O perigo é que a carta física cria uma sensação de “confiabilidade” maior do que e-mails de spam. O golpista projeta o cenário como um procedimento interno, usando termos como “Verificação de Autenticação”, “verificação de transação” para aumentar a legitimidade e fazer com que o destinatário atue imediatamente.
Não está claro como eles escolhem as vítimas, mas ambas as empresas já enfrentaram vazamentos de dados. Os incidentes de exposição de informações no passado podem ter dado aos golpistas dados adicionais para enviar cartas para os endereços corretos, para o grupo certo de usuários.
Carta de golpe estabelece um prazo de 15/02 para criar pressão psicológica
A carta de golpe estabelece um prazo de 15/02 e alerta sobre a perda de funcionalidade se não for concluída, criando pressão temporal para que a vítima escaneie o QR e siga as instruções sem ter tempo de verificar a autenticidade.
De acordo com o conteúdo da carta enviada aos usuários do Trezor, o golpista afirma que a “verificação de autenticação” se tornará obrigatória e exige que a conclusão seja feita antes de 15/02 para evitar a perda de algumas funções, ao mesmo tempo em que cita a necessidade de “sincronização completa” com o Trezor Suite.
Uma carta semelhante mirando usuários de Ledger também foi compartilhada na plataforma X, descrevendo “verificação de transação obrigatória” com o mesmo prazo. O padrão comum é apresentar uma “penalidade” vaga, mas assustadora, ativando a reação de agir imediatamente.
Por exemplo, a carta do Trezor citada no artigo tem um link: uma captura de tela do conteúdo da carta no X. Este link ajuda os usuários a identificar o estilo de apresentação e o tom geralmente encontrados em campanhas.
Escanear o QR levará a um site de phishing que imita o domínio Ledger/Trezor
QR na carta leva as vítimas a sites falsos, imitando a interface do Ledger/Trezor e exibindo um aviso “obrigatório” para enganar os usuários a inserir a seed phrase, depois enviando os dados para o servidor do golpista.
Relatórios indicam que o site de phishing mirando o Ledger ficou offline, enquanto o site mirando o Trezor ainda estava ativo e foi sinalizado como golpe pelo navegador/provedor de segurança. Avisos do tipo Chrome geralmente afirmam que o atacante pode enganar você a instalar software ou revelar informações sensíveis.
Antes de ser sinalizado, este site falso exibia uma mensagem solicitando a conclusão da “verificação de autorização” antes de 15/02 para “segurança”. Ele também fez exceções para alguns modelos de carteiras como “pré-configurados” para tornar o conteúdo parecer mais detalhado e confiável, embora o objetivo ainda fosse levar os usuários a inserir a seed phrase.
A página de destino geralmente tem botões como “Começar” para empurrar o usuário para o próximo fluxo, além de um aviso de “falha na verificação” se não for concluído. Esta é uma técnica de aumento progressivo da urgência, fazendo com que a vítima ignore sinais anômalos.
O site falso solicita a inserção da seed phrase e envia os dados via API para o golpista
Quando a vítima insere a seed phrase na página falsa, essa frase será enviada ao golpista (geralmente através de uma API nos bastidores), permitindo que eles recuperem a carteira em outro dispositivo e retirem toda a criptomoeda.
O processo frequentemente disfarçado como “verificação de propriedade do dispositivo” ou “ativação de recurso”. Mas, tecnicamente, a seed phrase é a “chave” para gerar a chave privada, então qualquer pessoa que tenha essa frase pode assumir o controle da carteira.
Após obter a seed phrase, o golpista não precisa do seu dispositivo físico. Eles podem inserir a frase em outra carteira de software/hardware, assinar transações e transferir ativos para um endereço sob seu controle. Como transações em blockchain são difíceis de reverter, a possibilidade de recuperação é geralmente muito baixa.
Princípio de segurança: Ledger e Trezor nunca solicitam a seed phrase
Ledger e Trezor nunca solicitam que os usuários forneçam a seed phrase; a frase de recuperação só deve ser inserida diretamente no dispositivo de hardware wallet, não em websites, QR, e-mails ou formulários.
A seed phrase é uma forma de expressão para que o usuário faça backup do acesso à carteira. Ela representa o controle da chave privada, portanto, compartilhar essa frase significa entregar toda a carteira a outra pessoa.
Se você receber uma carta/e-mail/ligação solicitando a seed phrase, considere isso um golpe. Além disso, esteja atento a mensagens que pressionam por prazos, solicitando “verificação obrigatória”, ou instruções para escanear QR para “sincronizar” a carteira.
Práticas de segurança mínimas: não escanear QR de fontes não verificadas, digitar o endereço do site a partir de fontes oficiais, e apenas realizar confirmações/recuperações diretamente na tela do dispositivo de hardware wallet. Se já inseriu a seed phrase, considere que a carteira foi comprometida e transfira os ativos para uma nova carteira com uma nova seed phrase assim que possível.
Perguntas frequentes
A carta física solicitando escanear o QR para “verificar a carteira” é um aviso legítimo do Ledger/Trezor?
Não. Este é um sinal típico de golpe: carta falsa, criando um senso de urgência e levando você a escanear o QR para um site falso para obter a seed phrase.
Por que basta divulgar a seed phrase para perder todo o dinheiro em criptomoedas?
A seed phrase pode ser usada para recuperar a carteira em outro lugar e criar controle sobre a chave privada. Quem possui essa frase pode assinar transações e transferir ativos sem a necessidade do seu dispositivo.
Se você escaneou o QR e inseriu a seed phrase, o que deve fazer imediatamente?
Considere a carteira antiga como comprometida. Crie uma nova carteira com uma nova seed phrase em um dispositivo confiável, e então transfira todos os ativos para o novo endereço da carteira o mais rápido possível.
Como identificar um site de phishing que imita o Ledger/Trezor?
Essas páginas geralmente exigem que você insira a seed phrase, estabelecem prazos, alertam sobre perda de funcionalidade e usam o botão “Começar” para forçar a continuidade. Ledger/Trezor não exigem a seed phrase em seus websites.